Boletín de seguridad de Microsoft MS16-099: crítico

Actualización de seguridad para Microsoft Office (3177451)

Publicado: 9 de agosto de 2016 | Actualizado: 22 de agosto de 2016

Versión: 2.0

Resumen ejecutivo

Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Office. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado. Un atacante que aprovechara correctamente las vulnerabilidades podría ejecutar código arbitrario en el contexto del usuario actual. Los clientes cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los que operan con derechos de usuario administrativos.

Para obtener más información, consulte la sección Clasificación de gravedad de vulnerabilidad y software afectado.

La actualización de seguridad aborda las vulnerabilidades mediante la corrección de la forma en que las versiones afectadas de los componentes de Office y Office controlan los objetos en la memoria. Para obtener más información sobre las vulnerabilidades, consulte la sección Información de vulnerabilidades.

Para obtener más información sobre esta actualización, consulte el artículo de Microsoft Knowledge Base 3177451

Clasificaciones de gravedad de software y vulnerabilidad afectadas

Las siguientes versiones o ediciones de software se ven afectadas. Las versiones o ediciones que no aparecen en la lista son anteriores a su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.

Las siguientes clasificaciones de gravedad asumen el posible impacto máximo de la vulnerabilidad. Para obtener información sobre la probabilidad, en un plazo de 30 días a partir de la publicación de este boletín de seguridad, de la vulnerabilidad en relación con su clasificación de gravedad y su impacto en la seguridad, consulte el Índice de vulnerabilidades en el resumen del boletín de agosto. 

Microsoft Office Software

Software afectado Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-3313 Vulnerabilidad de divulgación de información de Microsoft OneNote: CVE-2016-3315 Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-3316 Vulnerabilidad de daños en la memoria de Microsoft Office: CVE-2016-3317 Vulnerabilidad de daños en la memoria de componentes gráficos: CVE-2016-3318 Novedades reemplazado*
Microsoft Office 2007
Microsoft Office 2007 Service Pack 3 (3114442) No aplicable No disponible No disponible No aplicable Importanteejecución remota de código 3085620 en MS15-099
Microsoft Office 2007 Service Pack 3 (3114893) Importanteejecución remota de código No aplicable No disponible No disponible No aplicable 3114742 en MS16-015
Microsoft OneNote 2007 Service Pack 3 (3114456) No aplicable Divulgación de información importante No aplicable No disponible No aplicable 2889915 en MS15-116
Microsoft Word 2007 Service Pack 3 (3115465) No aplicable No disponible No aplicable Importanteejecución remota de código No aplicable 3115311 en MS16-088
Microsoft Office 2010
Microsoft Office 2010 Service Pack 2 (ediciones de 32 bits) (3114400) No aplicable No disponible No disponible No aplicable Importanteejecución remota de código 3085560 en MS15-099
Microsoft Office 2010 Service Pack 2 (ediciones de 64 bits) (3114400) No aplicable No disponible No disponible No aplicable Importanteejecución remota de código 3085560 en MS15-099
Microsoft Office 2010 Service Pack 2 (ediciones de 32 bits) (3114869) Importante ejecución remota de código No aplicable No disponible No disponible No aplicable 3114553 en MS16-004
Microsoft Office 2010 Service Pack 2 (ediciones de 64 bits) (3114869) Importante ejecución remota de código No aplicable No disponible No disponible No aplicable 3114553 en MS16-004
Microsoft Office 2010 Service Pack 2 (ediciones de 32 bits) (3115468) No aplicable No disponible No aplicable Importanteejecución remota de código No aplicable 3115315 en MS16-088
Microsoft Office 2010 Service Pack 2 (ediciones de 64 bits) (3115468) No aplicable No disponible No aplicable Importanteejecución remota de código No aplicable 3115315 en MS16-088
Microsoft OneNote 2010 Service Pack 2 (ediciones de 32 bits) (3114885) No aplicable Divulgación de información importante No aplicable No disponible No aplicable 3054978 en MS15-116
Microsoft OneNote 2010 Service Pack 2 (ediciones de 64 bits) (3114885) No aplicable Divulgación de información importante No aplicable No disponible No aplicable 3054978 en MS15-116
Microsoft Word 2010 Service Pack 2 (ediciones de 32 bits) (3115471) No aplicable No disponible No aplicable Importanteejecución remota de código No aplicable 3115317 en MS16-088
Microsoft Word 2010 Service Pack 2 (ediciones de 64 bits) (3115471) No aplicable No disponible No aplicable Importanteejecución remota de código No aplicable 3115317 en MS16-088
Microsoft Office 2013
Microsoft Office 2013 Service Pack 1 (ediciones de 32 bits) (3114340) No aplicable No disponible No disponible No aplicable Importanteejecución remota de código 3085572 en MS15-099
Microsoft Office 2013 Service Pack 1 (ediciones de 64 bits) (3114340) No aplicable No disponible No disponible No aplicable Importanteejecución remota de código 3085572 en MS15-099
Microsoft Office 2013 Service Pack 1 (ediciones de 32 bits) (3115427) Importante ejecución remota de código No aplicable No disponible No disponible No aplicable 3115016 en MS16-054
Microsoft Office 2013 Service Pack 1 (ediciones de 64 bits) (3115427) Importante ejecución remota de código No aplicable No disponible No disponible No aplicable 3115016 en MS16-054
Microsoft OneNote 2013 Service Pack 1 (ediciones de 32 bits) (3115256) No aplicable Divulgación de información importante No aplicable No disponible No aplicable 3101371 en MS15-116
Microsoft OneNote 2013 Service Pack 1 (ediciones de 64 bits) (3115256) No aplicable Divulgación de información importante No aplicable No disponible No aplicable 3101371 en MS15-116
Microsoft Word 2013 Service Pack 1 (ediciones de 32 bits) (3115449) No aplicable No aplicable Ejecución crítica de código remoto No aplicable No aplicable 3115292 en MS16-088
Microsoft Word 2013 Service Pack 1 (ediciones de 64 bits) (3115449) No aplicable No aplicable Ejecución crítica de código remoto No aplicable No aplicable 3115292 en MS16-088
Microsoft Office 2013 RT
Microsoft Office 2013 RT Service Pack 1[1](3114340) No aplicable No disponible No disponible No aplicable Importanteejecución remota de código 3085572 en MS15-099
Microsoft Office 2013 RT Service Pack 1[1](3115427) Importante ejecución remota de código No aplicable No disponible No disponible No aplicable 3115016 en MS16-054
Microsoft OneNote 2013 RT Service Pack 1[1](3115256) No aplicable Divulgación de información importante No aplicable No disponible No aplicable 3101371 en MS15-116
Microsoft Word 2013 RT Service Pack 1[1](3115449) No aplicable No aplicable Ejecución crítica de código remoto No aplicable No aplicable 3115292 en MS16-088
Microsoft Office 2016
Microsoft Office 2016 (edición de 32 bits) (3115415) Importante ejecución remota de código No aplicable No disponible No disponible No aplicable 3115144 en MS16-070
Microsoft Office 2016 (edición de 64 bits) (3115415) Importante ejecución remota de código No aplicable No disponible No disponible No aplicable 3115144 en MS16-070
Microsoft OneNote 2016 (edición de 32 bits) (3115419) No aplicable Divulgación de información importante No aplicable No disponible No aplicable 3114862 en MS16-070
Microsoft OneNote 2016 (edición de 64 bits) (3115419) No aplicable Divulgación de información importante No aplicable No disponible No aplicable 3114862 en MS16-070
Microsoft Word 2016 (edición de 32 bits) (3115439) No aplicable No aplicable Ejecución crítica de código remoto No aplicable No aplicable 3115301 en MS16-088
Microsoft Word 2016 (edición de 64 bits) (3115439) No aplicable No aplicable Ejecución crítica de código remoto No aplicable No aplicable 3115301 en MS16-088
Microsoft Office para Mac 2011
Microsoft Word para Mac 2011 (3179162) No aplicable No disponible No aplicable Importanteejecución remota de código No aplicable 3170463 en MS16-088
Microsoft Office 2016 para Mac
Microsoft OneNote 2016 para Mac (3179163) No aplicable Divulgación de información importante No aplicable No disponible No aplicable None
Microsoft Word 2016 para Mac (3179163) Importanteejecución remota de código No aplicable Importanteejecución remota de código Importanteejecución remota de código No aplicable 3170460 en MS16-088
Otro software de Office
Microsoft Word Viewer (3115479) Importante ejecución remota de código No aplicable No disponible No disponible No aplicable 3115395 en MS16-088
Microsoft Word Viewer (3115480) No aplicable No disponible No aplicable Importanteejecución remota de código No aplicable 3115393 en MS16-088

[1]Esta actualización está disponible a través de Windows Update.

*La columna Novedades Reemplazada muestra solo la actualización más reciente en una cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al Catálogo de Microsoft Update, busque el número de actualización y, a continuación, vea los detalles de la actualización (la información reemplazada de actualizaciones se encuentra en la pestaña Detalles del paquete).

Preguntas más frecuentes sobre la actualización

¿Esta versión contiene cambios adicionales relacionados con la seguridad en la funcionalidad?
Sí. Además de las actualizaciones de seguridad que abordan las vulnerabilidades descritas en este boletín, Microsoft publica las siguientes actualizaciones para agregar una mejora de características de seguridad que proporciona información adicional a los usuarios cuando Outlook realiza una conexión de red a través de un servidor proxy.

Software afectado
Microsoft Outlook 2007 Service Pack 3\ (3114981)
Microsoft Outlook 2010 Service Pack 2 (ediciones de 32 bits)\ (3115474)
Microsoft Outlook 2010 Service Pack 2 (ediciones de 64 bits)\ (3115474)
Microsoft Outlook 2013 Service Pack 1 (ediciones de 32 bits)\ (3115452)
Microsoft Outlook 2013 Service Pack 1 (ediciones de 64 bits)\ (3115452)
Microsoft Outlook 2016 (edición de 32 bits)\ (3115440)
Microsoft Outlook 2016 (edición de 64 bits)\ (3115440)

Tengo Instalado Microsoft Word 2010. ¿Por qué no se me ofrece la actualización 3115468?
La actualización 3115468 solo se aplica a los sistemas que ejecutan configuraciones específicas de Microsoft Office 2010. Algunas configuraciones no se ofrecerán a la actualización.

Estoy ofreciendo esta actualización para el software que no se indica específicamente como afectado en la tabla Clasificación de gravedad de vulnerabilidad y software afectado. ¿Por qué se me ofrece esta actualización?
Cuando las actualizaciones abordan el código vulnerable que existe en un componente que se comparte entre varios productos de Microsoft Office o que se comparten entre varias versiones del mismo producto de Microsoft Office, la actualización se considera aplicable a todos los productos y versiones admitidos que contienen el componente vulnerable.

Por ejemplo, cuando una actualización se aplica a los productos de Microsoft Office 2007, solo Microsoft Office 2007 puede aparecer específicamente en la tabla Software afectado. Sin embargo, la actualización podría aplicarse a Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer o cualquier otro producto de Microsoft Office 2007 que no aparezca específicamente en la tabla Software afectado. Además, cuando una actualización se aplica a los productos de Microsoft Office 2010, solo Microsoft Office 2010 puede aparecer específicamente en la tabla Software afectado. Sin embargo, la actualización podría aplicarse a Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer o cualquier otro producto de Microsoft Office 2010 que no aparezca específicamente en la tabla Software afectado.

Para obtener más información sobre este comportamiento y las acciones recomendadas, consulte el artículo de Microsoft Knowledge Base 830335. Para obtener una lista de productos de Microsoft Office a los que se puede aplicar una actualización, consulte el artículo de Microsoft Knowledge Base asociado a la actualización específica.

Información de vulnerabilidad

Vulnerabilidad de divulgación de información de Microsoft OneNote: CVE-2016-3315

Existe una vulnerabilidad de divulgación de información cuando Microsoft OneNote divulga incorrectamente su contenido de memoria. Un atacante que aprovechara la vulnerabilidad podría usar la información para poner en peligro el equipo o los datos del usuario. Para aprovechar la vulnerabilidad, un atacante podría crear un archivo de OneNote especialmente diseñado y convencer a una víctima de abrirlo. Para que un ataque se realice correctamente, el atacante debe conocer la ubicación específica de los objetos de OneNote en la memoria.

La actualización soluciona la vulnerabilidad cambiando la forma en que determinadas funciones de OneNote controlan los objetos en la memoria. La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:

Título de vulnerabilidad Número cve Divulgado públicamente Explotados
Vulnerabilidad de divulgación de información de Microsoft OneNote CVE-2016-3315 No No

Factores de mitigación

Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.

Soluciones alternativas

Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.

Varias vulnerabilidades de daños en la memoria de Microsoft Office

Existen varias vulnerabilidades de ejecución remota de código en el software de Microsoft Office cuando el software de Office no puede controlar correctamente los objetos en la memoria. Un atacante que aprovechara correctamente las vulnerabilidades podría ejecutar código arbitrario en el contexto del usuario actual. Si este tiene la sesión iniciada con derechos de usuario administrador, el atacante podría tomar el control del sistema afectado. El atacante, a continuación, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con derechos de usuario completos. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos.

La explotación de las vulnerabilidades requiere que un usuario abra un archivo especialmente diseñado con una versión afectada del software de Microsoft Office. En un escenario de ataque de correo electrónico, un atacante podría aprovechar las vulnerabilidades enviando el archivo especialmente diseñado al usuario y convenciendo al usuario de abrir el archivo. En un escenario de ataque basado en web, un atacante podría hospedar un sitio web (o aprovechar un sitio web en peligro que acepte o hospede contenido proporcionado por el usuario) que contenga un archivo especialmente diseñado para aprovechar las vulnerabilidades. Un atacante no tendría forma de forzar a los usuarios a visitar el sitio web. En su lugar, un atacante tendría que convencer a los usuarios de hacer clic en un vínculo, normalmente a través de una invitación en un correo electrónico o mensaje de Instant Messenger y, a continuación, convencerlos para abrir el archivo especialmente diseñado.

Tenga en cuenta que, cuando la gravedad se indica como Crítica en la tabla Clasificación de gravedad de software y vulnerabilidad afectada, el panel de vista previa es un vector de ataque para CVE-2016-3316. La actualización de seguridad aborda las vulnerabilidades mediante la corrección de cómo Office controla los objetos en la memoria.

La actualización de seguridad aborda las vulnerabilidades mediante la corrección de cómo Microsoft Office controla los objetos en la memoria. La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:

Título de vulnerabilidad Número cve Divulgado públicamente Explotados
Vulnerabilidad de daños en la memoria de Microsoft Office CVE-2016-3313 No No
Vulnerabilidad de daños en la memoria de Microsoft Office CVE-2016-3316 No No
Vulnerabilidad de daños en la memoria de Microsoft Office CVE-2016-3317 No No
Vulnerabilidad de daños en la memoria de componentes gráficos CVE-2016-3318 No No

Factores de mitigación

Microsoft no ha identificado ningún factor de mitigación para estas vulnerabilidades.

Soluciones alternativas

Microsoft no ha identificado ninguna solución alternativa para estas vulnerabilidades.

Implementación de actualizaciones de seguridad

Para obtener información sobre la implementación de actualizaciones de seguridad, consulte el artículo de Microsoft Knowledge Base al que se hace referencia en el resumen ejecutivo. 

Agradecimientos

Microsoft reconoce los esfuerzos de los miembros de la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Consulte Confirmaciones para obtener más información. 

Declinación de responsabilidades

La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.

Revisiones

  • V1.0 (9 de agosto de 2016): Boletín publicado.
  • V1.1 (11 de agosto de 2016): el boletín ha revisado para corregir los Novedades entradas reemplazadas de las actualizaciones de Microsoft Word Viewer 3115479 y 3115480. Solo se trata de un cambio informativo. Los clientes que ya han actualizado correctamente sus sistemas no necesitan realizar ninguna acción.
  • V2.0 (22 de agosto de 2016): boletín revisado para anunciar la disponibilidad de la actualización 14.6.7 para Microsoft Office Mac 2011 (3179162) y la actualización 15.25 para Microsoft Office 2016 para Mac (3179163). Los clientes que ejecutan el software Mac afectado deben instalar la actualización adecuada para que su producto se proteja de las vulnerabilidades descritas en este boletín. Los clientes que ejecutan otro software de Microsoft Office no necesitan realizar ninguna acción. Consulte el artículo de Microsoft Knowledge Base 3179162 y el artículo de Microsoft Knowledge Base 3179163 para obtener más información y vínculos de descarga.

Página generada 2016-08-22 11:13-07:00.