La empresa Microsoft ha publicado 10 boletines de seguridad correspondientes al mes de septiembre, seis de ellos calificados como “crítico”, uno como “importante” , dos como “moderado” y el restante como “bajo”.

Resumen
A continuación se presenta un resumen de los boletines publicados:MS06-057: CRÍTICA Una vulnerabilidad en Windows Shell podría ser explotada por un atacante para ejecutar código arbitrario de forma remota.

MS06-058: CRÍTICA Múltiples vulnerabilidades en Microsoft PowerPoint podrían ser explotadas por un atacante para ejecutar código arbitrario de forma remota.

MS06-059: CRÍTICA Múltiples vulnerabilidades en Microsoft Excel podrían ser explotadas por un atacante para ejecutar código arbitrario de forma remota.

MS06-060: CRÍTICA Múltiples vulnerabilidades en Microsoft Word podrían ser explotadas por un atacante para ejecutar código arbitrario de forma remota.

MS06-061: CRÍTICA Múltiples vulnerabilidades en Microsoft XML Core Services ser explotadas por un atacante para ejecutar código arbitrario de forma remota.

MS06-062: CRÍTICA Múltiples vulnerabilidades en Microsoft Office podrían ser explotadas por un atacante para ejecutar código arbitrario de forma remota.

MS06-063: IMPORTANTE Una vulnerabilidad en el servicio Server podría ser exoplotada por un atacante para efectuar un ataque de denegación de servicio (DoS).

MS06-056: MODERADA Una vulnerabilidad en ASP.NET podría permitir a un atacante acceder a información de manera no autorizada (Information Disclosure).

MS06-065: MODERADA Una vulnerabilidad en Windows Object Packager podría ser explotada por un atacante para ejecutar código arbitrario de forma remota.
MS06-064: BAJA Múltiples vulnerabilidades en TCP/IP podrían ser explotadas por un atacante para efectuar un ataque de denegación de servicio (DoS).
Versiones Afectadas
Se ven afectados los siguientes productos:

MS06-057:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 y Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional Edición x64
Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 para sistemas basados en Itanium y Microsoft Windows Server 2003 con SP1 para sistemas basados en Itanium
Microsoft Windows Server 2003 Edición x64

MS06-058:
Microsoft Office 2000 Service Pack 3
Microsoft PowerPoint 2000
Microsoft Office XP Service Pack 3
Microsoft PowerPoint 2002
Microsoft Office 2003 Service Pack 1 o Service Pack 2
Microsoft Office PowerPoint 2003
Microsoft Office 2004 para Mac
Microsoft PowerPoint 2004 para Mac
Microsoft Office v. X para Mac
Microsoft PowerPoint v. X para Mac

MS06-059:
Microsoft Office 2000 Service Pack 3
Microsoft Excel2000
Microsoft Office XP Service Pack 3
Microsoft Excel 2002
Microsoft Office 2003 Service Pack 1 o Service Pack 2
Microsoft Office Excel 2003
Microsoft Office Excel Viewer 2003
Microsoft Office 2004 para Mac
Microsoft Excel 2004 para Mac
Microsoft Office v. X para Mac
Microsoft Excel v. X para Mac
Microsoft Works Suite 2004
Microsoft Works Suite 2005
Microsoft Works Suite 2006

MS06-060:
Microsoft Office 2000 Service Pack 3
Microsoft Word2000
Microsoft Office XP Service Pack 3
Microsoft Word 2002
Microsoft Office 2003 Service Pack 1 o Service Pack 2
Microsoft Office Wordl 2003
Microsoft Office Word Viewer 2003
Microsoft Office 2004 para Mac
Microsoft Office v. X para Mac
Microsoft Works Suite 2004
Microsoft Works Suite 2005
Microsoft Works Suite 2006

MS06-061:
Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) en Windows 2000 Service Pack 4
Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) en Windows XP Service Pack 1
Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) en Windows XP Service Pack 2
Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) en Microsoft Windows XP Professional Edición x64.
Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) en Microsoft Windows Server 2003
Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) en Microsoft Windows Server 2003 Service Pack 1
Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) en Microsoft Windows Server 2003 para sistemas basados en Itanium y Microsoft Windows Server 2003 con SP1 para sistemas basados en Itanium
Microsoft XML Parser 2.6 (todas las versiones) y Microsoft XML Core Services 3.0 (todas las versiones) en Microsoft Windows Server 2003 Edición x64
Microsoft Office 2003 Service Pack 1 o Service Pack 2 con Microsoft XML Core Services 5.0 Service Pack 1

MS06-062:
Microsoft Office 2000 Service Pack 3
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 1 o Service Pack 2
Microsoft Office 2004 para Mac
Microsoft Office v. X para Mac
Microsoft Project 2000 Service Release 1
Microsoft Project 2002 Service Pack 1
Microsoft Visio 2002 Service Pack 2

MS06-063:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 y Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional Edición x64
Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 para sistemas basados en Itanium y Microsoft Windows Server 2003 con SP1 para sistemas basados en Itanium
Microsoft Windows Server 2003 Edición x64

MS06-056:
Microsoft .NET Framework 2.0

MS06-065:
Microsoft Windows XP Service Pack 1 y Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional Edición x64
Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 para sistemas basados en Itanium y Microsoft Windows Server 2003 con SP1 para sistemas basados en Itanium
Microsoft Windows Server 2003 Edición x64

MS06-064:
Microsoft Windows XP Service Pack 1 y Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional Edición x64
Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 para sistemas basados en Itanium y Microsoft Windows Server 2003 con SP1 para sistemas basados en Itanium
Microsoft Windows Server 2003 Edición x64

Detalle
MS06-057:
Un atacante podría explotar una vulnerabilidad existente en Windows Shell debido a una validación impropia de los parámetros de entrada al invocar al control ActiveX WebViewFolderIcon para ejecutar código arbitrario de forma remota. Para ser explotada, requiere que el usuario visite un sitio web especialmente modificado o abra un mensaje de correo electrónico especialmente modificado. Esta vulnerabilidad puede permitir al atacante tomar control completo sobre el equipo afectado con los permisos del usuario que se encuentre usándolo.

MS06-058:
Múltiples vulnerabilidades en Microsoft PowerPoint podrían permitir a un atacante ejecutar código arbitrario de forma remota. Para ser explotadas, se requiere que el usuario del equipo abra un archivo especialmente modificado utilizando Microsoft PowerPoint. Esta vulnerabilidad puede permitir al atacante tomar control completo sobre el equipo afectado con los permisos del usuario que se encuentre usándolo.

MS06-059:
Múltiples vulnerabilidades en Microsoft Excel podrían permitir a un atacante ejecutar código arbitrario de forma remota. Para ser explotadas, se requiere que el usuario del equipo abra un archivo especialmente modificado utilizando Microsoft Excel. Esta vulnerabilidad puede permitir al atacante tomar control completo sobre el equipo afectado con los permisos del usuario que se encuentre usándolo.

MS06-060:
Múltiples vulnerabilidades en Microsoft Word podrían permitir a un atacante ejecutar código arbitrario de forma remota. Para ser explotadas, se requiere que el usuario del equipo abra un archivo especialmente modificado utilizando Microsoft Word. Esta vulnerabilidad puede permitir al atacante tomar control completo sobre el equipo afectado con los permisos del usuario que se encuentre usándolo.

MS06-061:
Una vulnerabilidad en el procesamiento XSLT y una vulnerabilidad en Microsoft XML Core Services en la forma en la cual el control ActiveX MLHTTP interpreta las redirecciones en el servidor podrían permitir ejecución de código arbitrario. Para ser explotadas, estas vulnerabilidades requieren que el usuario visite un sitio web especialmente modificado. Estas vulnerabilidades pueden permitir al atacante tomar control completo sobre el equipo afectado con los permisos del usuario que se encuentre usándolo.

MS06-062:
Múltiples vulnerabilidades en Microsoft Office podrían permitir a un atacante ejecutar código arbitrario de forma remota. Para ser explotadas, se requiere que el usuario del equipo abra un archivo especialmente modificado utilizando Microsoft Office. Esta vulnerabilidad puede permitir al atacante tomar control completo sobre el equipo afectado con los permisos del usuario que se encuentre usándolo.

MS06-063:
Múltiples vulnerabilidades en la forma en la cual el servicio Server maneja ciertos mensajes de red podrían permitir a un atacante provocar denegación de servicio (DoS).

MS06-056:
Una vulnerabilidad de “cross-site scripting”(XSS) en ASP.NET podría permitir inyectar un script en el navegador del usuario y a un atacante acceder a información de manera no autorizada (Information Disclosure). Para ser explotada, se requiere que el usuario visite un sitio afectado.

MS06-065:
Un atacante podría explotar una vulnerabilidad existente en Windows Object Packager debido a un manejo impropio de las extensiones de archivos para ejecutar código arbitrario de forma remota. Para ser explotada, requiere que el usuario visite un sitio web especialmente modificado o abra un mensaje de correo electrónico especialmente modificado. Esta vulnerabilidad puede permitir al atacante tomar control completo sobre el equipo afectado con los permisos del usuario que se encuentre usándolo.

MS06-064:
Vulnerabilidades en la implementación de los protocolos ICMP, TCP y TCP/IP en IPv6 podrían permitir a un atacante provocar denegación de servicio (DoS). IPv6 se encuentra deshabilitado por defecto.

Impacto
El impacto de las vulnerabilidades presentadas en cada boletín se incluye en los resúmenes precedentes.

Recomendaciones
Se recomienda aplicar los parches correspondientes al boletín en los sistemas afectados. El proveedor de los sistemas afectados ofrece además diversas herramientas para la automatización del proceso de actualización. Para más información, consulte la información suministrada por el proveedor.

Referencias

Para más información sobre este boletín consultar el siguiente sitio:
http://www.microsoft.com/technet/security/bulletin/ms06-oct.mspx
Fuente: ArCERT