Microsoft ha publicado sus actualizaciones de seguridad para el mes de noviembre. La compañía estadounidense ha lanzado parches para sus productos principales, entre los que se incluyen su sistema operativo Windows, su plataforma de ofimática Office o el navegador Internet Explorer. En total, la compañía ha publicado ocho boletines de seguridad diferentes, tres de ellos de naturaleza crítica y el resto de naturaleza importante. La compañía vuelve a vivir un mes bastante movido en materia de seguridad en la que ha debido corregir 19 agujeros diferentes, uno de los cuales ya estaba siendo utilizado por los cibercriminales para atacar a los usuarios. Te contamos todas actualizaciones de seguridad que se han lanzado.
El primero de los boletines publicados es el MS13-088. Se trata de un boletín de naturaleza crítica que soluciona diez vulnerabilidades diferentes encontradas en el navegador Internet Explorer (afecta a todas las versiones, incluido el nuevo Internet Explorer 11). La más peligrosa de las vulnerabilidades podría permitir al cibercriminal ejecutar código de manera remota si el usuario visualiza una página web especialmente diseñada para este fin. El peligro es mayor cuantos más derechos de administrador está utilizando la víctima.
El segundo de los boletines de seguridad es el MS13-089, de naturaleza crítica. En este caso, se trata de un agujero encontrado en todas las versiones de Windows y que permitiría que el cibercrminal tome el control del equipo en caso de que la víctima abriera un documento de WordPad modificado. El último de los boletines de seguridad de naturaleza crítica es el MS13-090, que soluciona una vulnerabilidad encontrada en el control ActiveX utilizado a la hora de visualizar páginas web con Internet Explorer. El peligro de este fallo de seguridad es que ya se han producido ataques contra los usuarios. En caso de éxito, el cibercriminal podría tomar el control del equipo.
Entrando ahora en el campo de los boletines de naturaleza importante, el boletín MS13-091 corrige tres agujeros que afectan a Microsoft Office. Para que el ataque tenga éxito, la víctima debería abrir un documento modificado de Office en una suite que ya estuviera contaminada por el cibercriminal. El siguiente y quinto boletín es el MS13-092. En este caso, el agujero solo afecta a la versión para servidor Windows Server 2012 y a las versiones profesionales de Windows 8, siempre y cuando se estén utilizando en un entorno virtualizado. Un ataque con éxito permitiría al cibercriminal elevar sus privilegios.
El sexto boletín MS13-093 resuelve un fallo de seguridad que permitiría a los cibercriminales el robo de datos. Se trata de una vulnerabildidad difícil de llevar a la práctica ya que el atacante debe tener credenciales válidas de inicio de sesión y realizar el ataque de manera local en el ordenador de la víctima. El séptimo y penúltimo boletín es el MS13-094. Pone fin a un agujero que se ha revelado de manera pública, y que afecta a la plataforma Microsoft Outlook. El atacante podría conseguir información sobre la dirección IP o abrir puertos TCP de la víctima. Para ello, el atacante debe conseguir que el afectado abra o previsualice un correo modificado de manera maliciosa. Por último, el boletín MS13-095 soluciona una vulnerabilidad que afecta a todas las versiones de Windows y que podría llegar a provocar la denegación de servicio del sistema.
Todas estas actualizaciones deben llegar a los equipos a lo largo de las próximas horas (en el caso de que no lo hayan hecho ya). Para aquellos que no tengan activadas las actualizaciones automáticas, se pueden descargar los parches a través de la herramienta Windows Update.