Boletín de seguridad de Microsoft MS16-118: crítico
Actualización acumulativa de seguridad para Internet Explorer (3192887)
Publicado: 11 de octubre de 2016 | Actualizado: 13 de diciembre de 2016
Versión: 2.0
Resumen ejecutivo
Esta actualización de seguridad resuelve vulnerabilidades en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario ve una página web especialmente diseñada mediante Internet Explorer. Un atacante que aprovechara correctamente las vulnerabilidades podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, un atacante podría tomar el control de un sistema afectado. El atacante, a continuación, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con derechos de usuario completos.
Esta actualización de seguridad es crítica para Internet Explorer 9 (IE 9) e Internet Explorer 11 (IE 11) en clientes windows afectados y Moderado para Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) e Internet Explorer 11 (IE 11) en servidores Windows afectados. Para obtener más información, consulte la sección Software afectado.
La actualización aborda las vulnerabilidades mediante la corrección de cómo controla Internet Explorer:
- objetos en memoria
- límites del espacio de nombres
Para obtener más información sobre las vulnerabilidades, consulte la sección Información de vulnerabilidades.
Para obtener más información sobre esta actualización, consulte el artículo de Microsoft Knowledge Base 3192887.
Software afectado
Las siguientes versiones o ediciones de software se ven afectadas. Las versiones o ediciones que no aparecen en la lista son anteriores a su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.
| Sistema operativo | Componente | Impacto máximo en la seguridad | Clasificación de gravedad agregada | Novedades reemplazado* |
|---|---|---|---|---|
| Internet Explorer 9 | ||||
| Windows Vista Service Pack 2 | Internet Explorer 9 (3191492) | Ejecución remota de código | Crítico | 3185319 en MS16-104 |
| Windows Vista x64 Edition Service Pack 2 | Internet Explorer 9 (3191492) | Ejecución remota de código | Crítico | 3185319 en MS16-104 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Internet Explorer 9 (3191492) | Ejecución remota de código | Moderado | 3185319 en MS16-104 |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 | Internet Explorer 9 (3191492) | Ejecución remota de código | Moderado | 3185319 en MS16-104 |
| Internet Explorer 10 | ||||
| Solo seguridad de Windows Server 2012[4] | Internet Explorer 10[1] (3192393) | Ejecución remota de código | Moderado | 3185319 en MS16-104 |
| Acumulación mensual de Windows Server 2012[4] | Internet Explorer 10[1] (3185332) | Ejecución remota de código | Moderado | 3185319 en MS16-104 |
| Internet Explorer 11 | ||||
| Solo seguridad de Windows 7 para sistemas de 32 bits Service Pack 1[4] | Internet Explorer 11 (3192391) | Ejecución remota de código | Crítico | 3185319 en MS16-104 |
| Acumulación mensual de Windows 7 para sistemas de 32 bits Service Pack 1[4] | Internet Explorer 11 (3185330) | Ejecución remota de código | Crítico | 3185319 en MS16-104 |
| Solo seguridad de Windows 7 para sistemas basados en x64 Service Pack 1[4] | Internet Explorer 11 (3192391) | Ejecución remota de código | Crítico | 3185319 en MS16-104 |
| Windows 7 para sistemas basados en x64 Service Pack 1 Paquete acumulativo mensual[4] | Internet Explorer 11 (3185330) | Ejecución remota de código | Crítico | 3185319 en MS16-104 |
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 Solo seguridad[4] | Internet Explorer 11[1] (3192391) | Ejecución remota de código | Moderado | 3185319 en MS16-104 |
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 Paquete acumulativo mensual[4] | Internet Explorer 11[1] (3185330) | Ejecución remota de código | Moderado | 3185319 en MS16-104 |
| Windows 8.1 solo para seguridad de sistemas de 32 bits[4] | Internet Explorer 11 (3192392) | Ejecución remota de código | Crítico | 3185319 en MS16-104 |
| Resumen mensual de Windows 8.1 para sistemas de 32 bits[4] | Internet Explorer 11 (3185331) | Ejecución remota de código | Crítico | 3185319 en MS16-104 |
| Windows 8.1 solo para sistemas basados en x64[4] | Internet Explorer 11 (3192392) | Ejecución remota de código | Crítico | 3185319 en MS16-104 |
| Resumen mensual de Windows 8.1 para sistemas basados en x64[4] | Internet Explorer 11 (3185331) | Ejecución remota de código | Crítico | 3185319 en MS16-104 |
| Solo seguridad de Windows Server 2012 R2[4] | Internet Explorer 11 (3192392) | Ejecución remota de código | Moderado | 3185319 en MS16-104 |
| Acumulación mensual de Windows Server 2012 R2[4] | Internet Explorer 11 (3185331) | Ejecución remota de código | Moderado | 3185319 en MS16-104 |
| Paquete acumulativo mensual de Windows RT 8.1[4] | Internet Explorer 11[1][2](3185331) | Ejecución remota de código | Crítico | 3185319 en MS16-104 |
| Windows 10 para sistemas de 32 bits[3](3192440) | Internet Explorer 11 | Ejecución remota de código | Crítico | 3185611 |
| Windows 10 para sistemas basados en x64[3](3192440) | Internet Explorer 11 | Ejecución remota de código | Crítico | 3185611 |
| Windows 10 versión 1511 para sistemas de 32 bits[3](3192441) | Internet Explorer 11 | Ejecución remota de código | Crítico | 3185614 |
| Windows 10 versión 1511 para sistemas basados en x64[3](3192441) | Internet Explorer 11 | Ejecución remota de código | Crítico | 3185614 |
| Windows 10 versión 1607 para sistemas de 32 bits[3](3194798) | Internet Explorer 11 | Ejecución remota de código | Crítico | 3189866 |
| Windows 10 versión 1607 para sistemas basados en x64[3](3194798) | Internet Explorer 11 | Ejecución remota de código | Crítico | 3189866 |
[1]Para obtener información sobre los cambios en la compatibilidad con Internet Explorer a partir del 12 de enero de 2016, consulte ciclo de vida de Soporte técnico de Microsoft.
[2]Esta actualización está disponible a través de Windows Update.
[3]Las actualizaciones de Windows 10 son acumulativas. La versión de seguridad mensual incluye todas las correcciones de seguridad para las vulnerabilidades que afectan a Windows 10, además de las actualizaciones que no son de seguridad. Las actualizaciones están disponibles a través del catálogo de Microsoft Update.
[4]A partir de la versión de octubre de 2016, Microsoft está cambiando el modelo de mantenimiento de actualizaciones para Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012 y Windows Server 2012 R2. Para obtener más información, consulte este artículo de Microsoft TechNet.
Nota Las vulnerabilidades descritas en este boletín afectan a Windows Server 2016 Technical Preview 5. Para protegerse frente a las vulnerabilidades, Microsoft recomienda que los clientes que ejecutan este sistema operativo apliquen la actualización actual, que está disponible exclusivamente desde Windows Update.
*La columna Novedades Reemplazado muestra solo la actualización más reciente en cualquier cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al Catálogo de Microsoft Update, busque el número de KB de actualización y, a continuación, vea los detalles de actualización (se proporciona información reemplazada de actualizaciones en la pestaña Detalles del paquete).
Preguntas más frecuentes sobre la actualización
Además de instalar esta actualización, ¿hay pasos adicionales que debo llevar a cabo para protegerse de cualquiera de las vulnerabilidades que se describen en este boletín?
Sí. En el caso de los sistemas operativos Vista y Windows Server 2008 que instalan la actualización acumulativa de 3191492 por sí mismo no protegen completamente frente a CVE-2016-3298; también debe instalar la actualización de seguridad 3193515 en MS16-126 para protegerse completamente de la vulnerabilidad.
¿Esta actualización contiene cambios adicionales relacionados con la seguridad en la funcionalidad?
Sí. Además de los cambios que se enumeran para las vulnerabilidades descritas en este boletín, esta actualización incluye actualizaciones detalladas de defensa para ayudar a mejorar las características relacionadas con la seguridad.
Clasificaciones de gravedad e identificadores de vulnerabilidad
Las siguientes clasificaciones de gravedad asumen el posible impacto máximo de la vulnerabilidad. Para obtener información sobre la probabilidad, en un plazo de 30 días a partir de la publicación de este boletín de seguridad, de la vulnerabilidad en relación con su clasificación de gravedad e impacto en la seguridad, consulte el Índice de vulnerabilidades en el resumen del boletín de octubre.
Cuando se especifica en la tabla Clasificaciones de gravedad e Impacto, los valores Crítico, Importante y Moderado indican clasificaciones de gravedad. Para obtener más información, consulte Sistema de clasificación de gravedad del boletín de seguridad. Consulte la siguiente clave para ver las abreviaturas usadas en la tabla para indicar el impacto máximo:
| Abreviatura | Impacto máximo |
|---|---|
| RCE | Ejecución remota de código |
| EoP | Elevación de privilegios |
| ID | Divulgación de información |
| SFB | Omisión de características de seguridad |
| Clasificaciones e impactos de gravedad de vulnerabilidad | |||||
|---|---|---|---|---|---|
| Número cve | Título de vulnerabilidad | Internet Explorer 9 | Internet Explorer 10 | Internet Explorer 11 | Internet Explorer 11en Windows 10 |
| CVE-2016-3267 | Vulnerabilidad de divulgación de información de Microsoft Browser | Clientes de Windows: Moderado/Id . servidores de Windows: Bajo /ID | Clientes de Windows: Moderado/Id . servidores de Windows: Bajo /ID | Clientes de Windows: Moderado/Id . servidores de Windows: Bajo /ID | Clientes de Windows: Importante/ Id. servidores de Windows: Bajo /ID |
| CVE-2016-3298 | Vulnerabilidad de divulgación de información de Internet Explorer | Clientes de Windows: Moderado/Id . servidores de Windows: Bajo /ID | Clientes de Windows: Moderado/Id . servidores de Windows: Bajo /ID | Clientes de Windows: Moderado/Id . servidores de Windows: Bajo /ID | Clientes de Windows: Moderado/Id . servidores de Windows: Bajo /ID |
| CVE-2016-3331 | Vulnerabilidad de daños en la memoria de Microsoft Browser | No aplicable | No disponible | No aplicable | Clientes windows: Servidores Windows críticos/RCE : Moderado/RCE (Win 10 1607 no se ve afectado) |
| CVE-2016-3382 | Vulnerabilidad de daños en la memoria del motor de scripting | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE |
| CVE-2016-3383 | Vulnerabilidad de daños en la memoria de Internet Explorer | No aplicable | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE | No aplicable |
| CVE-2016-3384 | Vulnerabilidad de daños en la memoria de Internet Explorer | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE |
| CVE-2016-3385 | Vulnerabilidad de daños en la memoria del motor de scripting | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE |
| CVE-2016-3387 | Vulnerabilidad de elevación de privilegios de Microsoft Browser | No aplicable | Clientes de Windows: Importante/ Servidores Windows EOP : Bajo /EOP | Clientes de Windows: Importante/ Servidores Windows EOP : Bajo /EOP | Clientes de Windows: Importante/ Servidores Windows EOP : Bajo /EOP |
| CVE-2016-3388 | Vulnerabilidad de elevación de privilegios de Microsoft Browser | No aplicable | Clientes de Windows: Importante/ Servidores Windows EOP : Bajo /EOP | Clientes de Windows: Importante/ Servidores Windows EOP : Bajo /EOP | Clientes de Windows: Importante/ Servidores Windows EOP : Bajo /EOP |
| CVE-2016-3390 | Vulnerabilidad de daños en la memoria del motor de scripting | No aplicable | No aplicable | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE | Clientes de Windows: Servidores Windows críticos/RCE : Moderado/RCE |
| CVE-2016-3391 | Vulnerabilidad de divulgación de información de Microsoft Browser | Clientes de Windows: Moderado/Id . servidores de Windows: Bajo /ID | Clientes de Windows: Moderado/Id . servidores de Windows: Bajo /ID | Clientes de Windows: Moderado/Id . servidores de Windows: Bajo /ID | Clientes de Windows: Moderado/Id . servidores de Windows: Bajo /ID |
Información de vulnerabilidad
Varias vulnerabilidades de daños en la memoria de Microsoft Internet Explorer
Existen varias vulnerabilidades de ejecución remota de código en la forma en que Internet Explorer accede a los objetos en la memoria. Las vulnerabilidades podrían dañar la memoria de una manera que podría permitir que un atacante ejecute código arbitrario en el contexto del usuario actual. Un atacante que aprovechara correctamente las vulnerabilidades podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, el atacante podría tomar el control de un sistema afectado. El atacante, a continuación, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con derechos de usuario completos.
Un atacante podría hospedar un sitio web especialmente diseñado para aprovechar las vulnerabilidades a través de Internet Explorer y, a continuación, convencer a un usuario para ver el sitio web. El atacante también podría aprovechar los sitios web comprometidos, o sitios web que aceptan o hospedan contenido o anuncios proporcionados por el usuario, agregando contenido especialmente diseñado que podría aprovechar las vulnerabilidades. Sin embargo, en todos los casos, un atacante no tendría forma de forzar a los usuarios a ver el contenido controlado por el atacante. En su lugar, un atacante tendría que convencer a los usuarios de tomar medidas, normalmente a través de una instrucciones en el correo electrónico o en un mensaje instantáneo, o obteniendo que abran un archivo adjunto de correo electrónico.
La actualización aborda las vulnerabilidades modificando el modo en que Internet Explorer controla los objetos en la memoria.
La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:
| Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
|---|---|---|---|
| Vulnerabilidad de daños en la memoria de Microsoft Browser | CVE-2016-3331 | No | No |
| Vulnerabilidad de daños en la memoria de Microsoft Browser | CVE-2016-3383 | No | No |
| Vulnerabilidad de daños en la memoria de Internet Explorer | CVE-2016-3384 | No | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para estas vulnerabilidades.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para estas vulnerabilidades.
Preguntas más frecuentes
Estoy ejecutando Internet Explorer en Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2. ¿Esto mitiga estas vulnerabilidades?
Sí. De forma predeterminada, Internet Explorer en Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Configuración de seguridad mejorada es un grupo de opciones preconfiguradas en Internet Explorer que pueden reducir la probabilidad de que un usuario o administrador descargue y ejecute contenido web especialmente diseñado en un servidor. Se trata de un factor de mitigación para los sitios web que no se han agregado a la zona Sitios de confianza de Internet Explorer.
¿Puede EMET ayudar a mitigar los ataques que intentan aprovechar estas vulnerabilidades?
Sí. El Kit de herramientas de experiencia de mitigación mejorada (EMET) permite a los usuarios administrar tecnologías de mitigación de seguridad que ayudan a que los atacantes puedan aprovechar las vulnerabilidades de daños en la memoria en un determinado fragmento de software. EMET puede ayudar a mitigar los ataques que intentan aprovechar estas vulnerabilidades en Internet Explorer en sistemas donde EMET está instalado y configurado para trabajar con Internet Explorer.
Para obtener más información sobre EMET, consulte El kit de herramientas de experiencia de mitigación mejorada.
Varias vulnerabilidades de daños en la memoria del motor de scripting
Existen varias vulnerabilidades de ejecución remota de código en la forma en que el motor de scripting se representa al controlar objetos en memoria en exploradores de Microsoft. Las vulnerabilidades podrían dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual.
En un escenario de ataque basado en web, un atacante podría hospedar un sitio web especialmente diseñado para aprovechar las vulnerabilidades a través de Internet Explorer o Edge y luego convencer a un usuario para ver el sitio web. Un atacante también podría insertar un control ActiveX marcado como "seguro para la inicialización" en una aplicación o un documento de Microsoft Office que hospeda el motor de representación de scripting. El atacante también podría aprovechar los sitios web en peligro y los sitios web que aceptan o hospedan contenido o anuncios proporcionados por el usuario. Estos sitios web podrían contener contenido especialmente diseñado que podría aprovechar las vulnerabilidades.
La actualización aborda las vulnerabilidades modificando cómo el motor de scripting controla los objetos en la memoria.
La tabla siguiente contiene vínculos a la entrada estándar para cada una de las vulnerabilidades de la lista Vulnerabilidades comunes y exposiciones:
| Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
|---|---|---|---|
| Vulnerabilidad de daños en la memoria del motor de scripting | CVE-2016-3382 | No | No |
| Vulnerabilidad de daños en la memoria del motor de scripting | CVE-2016-3385 | No | No |
| Vulnerabilidad de daños en la memoria del motor de scripting | CVE-2016-3390 | No | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para estas vulnerabilidades.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para estas vulnerabilidades.
Preguntas más frecuentes
Estoy ejecutando Internet Explorer en Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2. ¿Esto mitiga estas vulnerabilidades?
Sí. De forma predeterminada, Internet Explorer en Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Configuración de seguridad mejorada es un grupo de opciones preconfiguradas en Internet Explorer que pueden reducir la probabilidad de que un usuario o administrador descargue y ejecute contenido web especialmente diseñado en un servidor. Se trata de un factor de mitigación para los sitios web que no se han agregado a la zona Sitios de confianza de Internet Explorer.
¿Puede EMET ayudar a mitigar los ataques que intentan aprovechar estas vulnerabilidades?
Sí. El Kit de herramientas de experiencia de mitigación mejorada (EMET) permite a los usuarios administrar tecnologías de mitigación de seguridad que ayudan a que los atacantes puedan aprovechar las vulnerabilidades de daños en la memoria en un determinado fragmento de software. EMET puede ayudar a mitigar los ataques que intentan aprovechar estas vulnerabilidades en Internet Explorer en sistemas donde EMET está instalado y configurado para trabajar con Internet Explorer.
Para obtener más información sobre EMET, consulte El kit de herramientas de experiencia de mitigación mejorada.
Varias vulnerabilidades de elevación de privilegios de Internet Explorer
Existen varias vulnerabilidades de elevación de privilegios cuando Internet Explorer o Edge no pueden proteger correctamente el espacio de nombres privado. Un atacante que aprovechara correctamente esta vulnerabilidad podría obtener permisos elevados en el directorio de espacio de nombres de un sistema vulnerable y obtener privilegios elevados.
Las vulnerabilidades por sí mismas no permiten ejecutar código arbitrario. Sin embargo, estas vulnerabilidades se pueden usar junto con una o varias otras vulnerabilidades (por ejemplo, una vulnerabilidad de ejecución remota de código y otra elevación de privilegios) que podrían aprovechar los privilegios elevados al ejecutarse.
La actualización aborda las vulnerabilidades mediante la corrección del modo en que los exploradores de Microsoft controlan los límites del espacio de nombres.
La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:
| Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
|---|---|---|---|
| Vulnerabilidad de elevación de privilegios de Microsoft Browser | CVE-2016-3387 | No | No |
| Vulnerabilidad de elevación de privilegios de Microsoft Browser | CVE-2016-3388 | No | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para estas vulnerabilidades.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para estas vulnerabilidades.
Vulnerabilidad de divulgación de información del explorador de Microsoft CVE-2016-3267
Existe una vulnerabilidad de divulgación de información cuando Internet Explorer o Edge no controlan correctamente los objetos en la memoria. La vulnerabilidad podría permitir que un atacante detecte archivos específicos en el equipo del usuario. En un escenario de ataque basado en web, un atacante podría hospedar un sitio web que se usa para intentar aprovechar la vulnerabilidad.
Además, los sitios web y sitios web comprometidos que aceptan o hospedan contenido generado por el usuario podrían contener contenido especialmente diseñado que podría aprovechar la vulnerabilidad. Sin embargo, en todos los casos, un atacante no tendría forma de forzar a un usuario a ver el contenido controlado por el atacante. En su lugar, un atacante tendría que convencer a los usuarios de tomar medidas. Por ejemplo, un atacante podría engañar a los usuarios para hacer clic en un vínculo que los lleve al sitio del atacante.
Un atacante que aprovechara correctamente la vulnerabilidad podría leer datos que no tenían previsto revelarse. Tenga en cuenta que la vulnerabilidad no permitiría a un atacante ejecutar código o elevar directamente los derechos de un usuario, pero la vulnerabilidad podría usarse para obtener información en un intento de poner en peligro aún más los exploradores afectados. La actualización aborda la vulnerabilidad al ayudar a restringir la información que se devuelve a Internet Explorer.
La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:
| Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
|---|---|---|---|
| Vulnerabilidad de divulgación de información de Microsoft Browser | CVE-2016-3267 | No | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Vulnerabilidad de divulgación de información de Microsoft Browser CVE-2016-3391
Existe una vulnerabilidad de divulgación de información cuando los exploradores de Microsoft dejan los datos de credenciales en memoria. Un atacante que aprovechara correctamente esta vulnerabilidad podría recopilar credenciales de un volcado de memoria del proceso del explorador. Un atacante necesitaría acceso a un volcado de memoria del sistema afectado.
La actualización aborda la vulnerabilidad cambiando la forma en que los exploradores de Microsoft almacenan las credenciales en memoria.
La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:
| Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
|---|---|---|---|
| Vulnerabilidad de divulgación de información de Microsoft Browser | CVE-2016-3391 | No | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Vulnerabilidad de divulgación de información de Internet Explorer CVE-2016-3298
Existe una vulnerabilidad de divulgación de información cuando Internet Explorer controla incorrectamente los objetos en la memoria. Un atacante que aprovechara correctamente esta vulnerabilidad podría probar la presencia de archivos en el disco. Para que un ataque sea correcto, un atacante debe convencer a un usuario de abrir un sitio web malintencionado.
La actualización aborda la vulnerabilidad cambiando la forma en que Internet Explorer controla los objetos en la memoria.
La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:
| Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
|---|---|---|---|
| Vulnerabilidad de divulgación de información de Internet Explorer | CVE-2016-3298 | No | Sí |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Implementación de actualizaciones de seguridad
Para obtener información sobre la implementación de actualizaciones de seguridad, consulte el artículo de Microsoft Knowledge Base al que se hace referencia en el resumen ejecutivo.
Agradecimientos
Microsoft reconoce los esfuerzos de los miembros de la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Consulte Confirmaciones para obtener más información.
Declinación de responsabilidades
La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
V1.0 11 de octubre de 2016: Boletín publicado.
V2.0 (13 de diciembre de 2016): el boletín revisado para anunciar las siguientes actualizaciones se han vuelto a publicar con un cambio de detección que soluciona un problema de sustitución que ciertos clientes experimentaron al intentar instalar las actualizaciones solo de seguridad de octubre.
- Solo actualización de seguridad 3192391 para todas las versiones compatibles de Windows 7 y Windows Server 2008 R2. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 3192391.
- Solo seguridad actualiza 3192393 para Windows Server 2012. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 3192393.
- Solo actualización de seguridad 3192392 para Windows 8.1 y Windows Server 2012 R2. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 3192392.
Solo se trata de cambios de detección. No se han producido cambios en los archivos de actualización. Los clientes que ya han instalado correctamente cualquiera de estas actualizaciones no necesitan realizar ninguna acción. Para obtener más información, consulte el artículo de Microsoft Knowledge Base para la actualización correspondiente.
Página generada 2016-12-12 10:58-08:00.