Microsoft publica el boletín de Abril que soluciona 25 vulnerabilidades

Fuente: INTECO

Sistemas Afectados

  • Exchange Server
  • Office XP, 2003 y 2007
  • Windows 2000 SP4
  • Windows XP SP2 y SP3
  • Windows XP Professional x64 Edition SP2
  • Windows 2003 Server SP2
  • Windows 2003 x64 Edition SP2
  • Windows 2003 para sistemas Itanium SP2
  • Windows Vista, Vista con SP1 y con SP2
  • Windows Vista x64 Edition SP1 y SP2
  • Windows 2008 Server, y con SP2
  • Windows 2008 x64 Edition, y con SP2
  • Windows 2008 para sistemas Itanium y con SP2
  • Windows 7
  • Windows 7 x64 based-systems
  • Windows 2008 R2 x64 Edition
  • Windows 2008 R2 para sistemas Itanium

Descripción

ha publicado el boletín correspondiente al mes de abril del año 2010. Éste ofrece solución a 25 vulnerabilidades.

Impacto

Los efectos de la explotación de las vulnerabilidades son:

  • Ejecución remota de código
  • Denegación de servicio
  • Elevación de privilegios
  • Suplantación de identidad (spoofing)

Solución

Instalar la actualización publicada en el resumen del boletín de seguridad de Microsoft de Enero. En el boletín de seguridad se trata todo lo relativo a la actualización, por lo que se recomienda a los administradores consultarlo y testearlo para evitar posibles efectos adversos.

En muchos casos, siempre que se encuentre activado el servicio, las actualizaciones se realizarán de forma automática.

Detalle

Microsoft ha publicado el boletín correspondiente al mes de abril del año 2010. Éste ofrece solución a 25 vulnerabilidades.

Dentro de su ciclo habitual de boletines, el segundo martes de cada mes, Microsoft ha publicado el resumen de los boletines del mes de Enero de 2010 .

En esta ocasión ha publicado once boletines, cinco críticos, cinco importantes y uno moderado, que resuelven un total de 25 vulnerabilidades que afectan a distintos productos de Microsoft:

  • MS10-019: relacionado con la verificación Authenticode. Resuelve las vulnerabilidades CVE-2010-0486 y CVE-2010-0487
  • MS10-020: afecta al cliente SMB. Resuelve las vulnerabilidades CVE-2009-3676, CVE-2010-0269, CVE-2010-0270, CVE-2010-0476 y CVE-2010-0477
  • MS10-021: relacionado con el kernel de Windows en varios sistemas operativos. Resuelve las vulnerabilidades CVE-2010-0234, CVE-2010-0235, CVE-2010-0236, CVE-2010-0237, CVE-2010-0238, CVE-2010-0481, CVE-2010-0482 y CVE-2010-0810
  • MS10-022: afecta a varias versiones de VBScript. Resuelve la vulnerabilidad CVE-2010-0483
  • MS10-023: relacionado con el programa Publisher de la suite Microsoft Office. Resuelve la vulnerabilidad CVE-2010-0479
  • MS10-024: afecta a Microsoft Exchange y al servicio SMTP. Resuelve las vulnerabilidades CVE-2010-0024 y CVE-2010-0025
  • MS10-025: relacionado con los Media Services. Resuelve la vulnerabilidad CVE-2010-0478
  • MS10-026: afecta a los codecs de audio MPEG Layer 3 de Microsoft. Resuelve la vulnerabilidad CVE-2010-0479
  • MS10-027: relacionado con el reproductor multimedia Media Player. Resuelve la vulnerabilidad CVE-2010-0268
  • MS10-028: afecta al producto Microsoft Visio. Resuelve las vulnerabilidades CVE-2010-0254 y CVE-2010-0256
  • MS10-029: arelacionado con el componente ISATAP. Resuelve la vulnerabilidad CVE-2010-0812

En este momento las vulnerabilidades están en revisión, y otras son solo candidatas y están publicadas por el MITRE, cuando sean firmes los CVE y se publiquen en el NIST, INTECO-CERT las traducirá a castellano y las podrán consultar en nuestra base de datos de vulnerabilidades.

Sistemas Afectados

  • Adobe Reader 9.3.1 y anteriores para Windows, Macintosh y UNIX.
  • Adobe Acrobat 9.3.1 y anteriores para Windows y Macintosh.

Descripción

Adobe ha publicado una actualización de seguridad para Adobe Acrobat y Adobe Reader que solucionan un total de quince vulnerabilidades importantes.

Impacto

Los posibles efectos de la explotación de las vulnerabilidades son:

  • Ataques de peticiones de dominio cruzados.
  • Caída de la aplicación.
  • Ejecución remota de código.

Solución

Instalar las actualizaciones de seguridad correspondientes a nuestros productos y a nuestros sistemas. Esto lo podemos realizar desde el propio programa (Adobe Reader o Adobe Acrobat) desde el menú principal, opción Ayuda, Buscar actualizaciones, o bien desde los enlaces correspondientes del boletín de seguridad de Adobe

Detalle

Las vulnerabilidades que resuelve son:

Esta actualización también coincide con la publicación de una nueva funcionalidad de actualización automática de Reader y Acrobat. Esta característica puede ser activada, tras la actualización a la versión 9.3.2 en el menú Edición, Preferencias, Actualizador.

En este momento las vulnerabilidades están en revisión, o son solo candidatas y están publicadas por el MITRE, cuando sean firmes los CVE y se publiquen en el NIST, INTECO-CERT las traducirá a castellano y las podrán consultar en nuestra base de datos de vulnerabilidades.

Referencias

  • Security bulletin APSB10-09

Sistemas Afectados

  • Oracle Database 11g Release 2 versión 11.2.0.1, 11g Release 1 versión 11.1.0.7, 10g Release 2, versiones 10.2.0.3 y 10.2.0.4, 10g version 10.1.0.5 y 9i Release 2 versiones 9.2.0.8 y 9.2.0.8DV.
  • Oracle Application Server 10gR2, version 10.1.2.3.0
  • Oracle Identity Management 10g, version 10.1.4.0.1 y 10.1.4.3
  • Oracle Collaboration Suite 10g, version 10.1.2.4
  • Oracle E-Business Suite Release 12 versiones 12.0.4, 12.0.5, 12.0.6, 12.1.1 y 12.1.2, Release 11i versiones 11.5.10 y 11.5.10.2
  • Oracle E-Business Suite
  • Oracle Transportation Manager, Versions: 5.5.05.07, 5.5.06.00 y 6.0.03
  • Oracle Agile – Engineering Data Management, Versión 6.1.1.0
  • PeopleSoft Enterprise PeopleTools, versiones 8.49 y 8.50
  • Oracle Communications Unified Inventory Management versión 7.1
  • Oracle Clinical Remote Data Capture Option 4.5.3 y 4.6
  • Oracle Thesaurus Management System 4.5.2, 4.6 y 4.6.1
  • Oracle Retail Markdown Optimization versión 13.1
  • Oracle Retail Place In-Season versión 12.2
  • Oracle Retail Plan In-Season versión 12.2
  • Oracle Sun Product Suite

Descripción

Oracle ha publicado la actualización trimestral de seguridad para sus productos, solucionan 47 vulnerabilidades en 7 productos.

Impacto

Varía en función del producto, en algunos de ellos el impacto es crítico ya que las vulnerabilidades son explotables en remoto sin necesidad de autenticación, es decir, son explotables desde Internet sin necesidad de facilitar ningún nombre de usuario y contraseña; sin embargo, para otros productos el impacto es menor ya que las vulnerabilidades no pueden ser explotadas en remoto sin autenticación.

Solución

Actualizar los productos de Oracle que tenga instalados. Debido a que varias de los problemas solucionados son críticos, se recomiendo actualizar el sistema en la mayor brevedad posible.

Puede hacerlo desde la página de actualizaciones de Oracle

Detalle

Los problemas solucionados para cada producto son:

Oracle Database

Esta actualización soluciona 8 vulnerabilidades. Solo una de ellas es explotable de forma remota sin necesidad de autenticación. Estas vulnerabilidades son: CVE-2010-0853, CVE-2010-0860, CVE-2010-0866, CVE-2010-0852, CVE-2010-0867, CVE-2010-0851, CVE-2010-0870 y CVE-2010-0854

Los componentes afectados de vulnerabilidades que están solucionados en esta actualización son:

  • Oracle Internet Directory
  • Core RDBMS
  • JavaVM
  • XML DB
  • XML DB
  • Change Data Capture
  • Audit

De estos componentes el más crítico de ellos tiene una puntuación CVSS Base Score de 7.5.

Oracle Fusion Middleware.

Esta actualización soluciona 5 vulnerabilidades, todas ellas pueden ser explotables de forma remota sin necesidad de autenticación. Son CVE-2010-0853, CVE-2010-0872, CVE-2010-0856, CVE-2010-0086 y CVE-2010-0855.

Los componentes afectados de vulnerabilidades para este producto son:

  • Oracle Internet Directory
  • Portal

En estos componentes la mayor puntuación CVSS Base Score es de 7.5.

Oracle Collaboration Suite

Esta actualización soluciona una vulnerabilidad, que puede ser explotable de forma remota sin necesidad de autenticación. La vulnerabilidad es: CVE-2010-0881.

El componente afectado por la vulnerabilidad para este producto es:

  • User Interface Components

La puntuación CVSS Base Score del componente afectado es de 4.3.

Oracle E-Business Suite and Applications

Esta actualización soluciona 8 vulnerabilidades, 6 de ellas pueden ser explotables de forma remota sin necesidad de autenticación. Las vulnerabilidades son: CVE-2010-0859, CVE-2010-0868, CVE-2010-0861, CVE-2010-0865, CVE-2010-0871, CVE-2010-0869, CVE-2010-0858 y CVE-2010-0857.

Los componentes afectados de vulnerabilidades para este producto son:

  • Oracle Application Object Library
  • Oracle iStore
  • Oracle HRMS (Self Service)
  • Oracle Agile Engineering Data Management
  • Oracle Application Object Library
  • Oracle Transportation Management
  • E-Business Intelligence
  • Oracle Workflow Cartridge

En estos componentes la mayor puntuación CVSS Base Score es de 6.4.

Oracle PeopleSoft Enterprise and JD Edwards EnterpriseOne

Esta actualización soluciona 4 vulnerabilidades, 2 de ellas pueden ser explotables de forma remota sin necesidad de autenticación. Las vulnerabilidades son CVE-2010-0880, CVE-2010-0877, CVE-2010-0878 y CVE-2010-0879.

El componente afectado por la vulnerabilidad es:

  • PeopleTools

La puntuación CVSS Base Score del componente afectado es de 6.4.

Oracle Industry Applications Product Suite

Esta actualización soluciona 6 vulnerabilidades, todas ellas pueden ser explotables de forma remota sin necesidad de autenticación. Las vulnerabilidades son: CVE-2010-0874, CVE-2010-0876, CVE-2010-0875, CVE-2010-0862, CVE-2010-0864 y CVE-2010-0863.

Los componentes afectados de vulnerabilidades para este producto son:

  • Communications – Oracle Communications Unified Inventory Management
  • Life Sciences – Oracle Clinical Remote Data Capture Option
  • Life Sciences – Oracle Thesaurus Management System
  • Retail – Oracle Retail Markdown Optimization
  • Retail – Oracle Retail Place In-Season

En estos componentes la mayor puntuación CVSS Base Score es de 4.3.

Oracle Sun Product Suite

Esta actualización soluciona 16 vulnerabilidades, 9 de ellas pueden ser explotables de forma remota sin necesidad de autenticación. Las vulnerabilidades son: CVE-2010-0888, CVE-2010-0897, CVE-2010-0882, CVE-2010-0896, CVE-2010-0885, CVE-2010-0894, CVE-2010-0891, CVE-2009-2404, CVE-2009-0688, CVE-2010-0889, CVE-2010-0453, CVE-2010-0893, CVE-2010-0895, CVE-2010-0890, CVE-2010-0883 y CVE-2010-0884.

Los componentes afectados de vulnerabilidades para este producto son:

  • Sun Ray Server Software
  • Sun Java System Directory Server
  • Solaris
  • Sun Convergence
  • Sun Java System Communications Express
  • Sun Java System Access Manager
  • Sun Management Center
  • Sun Java System Directory Server
  • Sun Convergence
  • Sun Cluster

En estos componentes la mayor puntuación CVSS Base Score es de 10.

Para ampliar la información consultar el aviso de Oracle (Apartado de Referencias).

Para consultar las vulnerabilidades (por CVE) se puede hacer, según su estado: