ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

KLA10980
Varias vulnerabilidades en el componente de gráficos de Microsoft
Actualizado: 07/05/2018
Fecha de detección
?
03/14/2017
Nivel de gravedad
?
Crítica
Descripción

Se han encontrado múltiples vulnerabilidades serias en Microsoft Graphics Component. Los usuarios malintencionados pueden explotar estas vulnerabilidades para obtener privilegios, obtener información sensible y ejecutar código arbitrario.

A continuación hay una lista completa de vulnerabilidades:

  1. Un manejo de objetos incorrecto en la memoria se puede explotar de forma remota para ejecutar código arbitrario en modo kernel;
  2. Una divulgación inadecuada de los contenidos del componente GDI se puede explotar remotamente a través de un documento o página web especialmente diseñada para obtener información sensible;
  3. Un manejo de objetos incorrecto en la memoria se puede explotar de forma remota para obtener información sensible y, en combinación con otra vulnerabilidad, puede permitir la ejecución de código arbitrario;
  4. Un manejo de objetos incorrecto en la memoria se puede explotar remotamente a través de un documento o página web especialmente diseñada para obtener información confidencial;
  5. Un manejo incorrecto de objetos en la memoria en el Módulo de administración de color (ICM32.dll) se puede explotar de forma remota a través de un sitio web especialmente diseñado para obtener información confidencial y, en combinación con otra vulnerabilidad, puede permitir la ejecución de código arbitrario;
  6. Un manejo de objetos incorrecto en la memoria se puede explotar de forma remota al hacer que el usuario visite un sitio web o archivo de documentos especialmente diseñado para ejecutar código arbitrario.

Detalles técnicos

Para explotar las vulnerabilidades (1) y (2), un usuario malintencionado debe iniciar sesión en el sistema y ejecutar una aplicación especialmente diseñada.

En caso de vulnerabilidad (6), para los productos afectados de Microsoft Office, un vector de ataque es el Panel de vista previa.

Productos afectados

Paquete de servicio de Microsoft Windows Vista 2
Paquete de servicio de Microsoft Windows 7 1
Microsoft Windows 8.1
Microsoft Windows RT 8.1
Microsoft Windows 10
Paquete de servicio 2 de Microsoft Windows Server 2008
Paquete de servicio de Microsoft Windows Server 2008 R2
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Office 2007
Microsoft Office 2010
Microsoft Lync 2010
Microsoft Lync 2013
Skype Empresarial 2016

Solución

Instale las actualizaciones necesarias de la sección KB, que se enumeran en su Actualización de Windows (normalmente se puede acceder a la Actualización de Windows desde el Panel de control)

Notas informativas originales

MS17-013

Impactos
?
ACE 
[?]

OSI 
[?]

PE 
[?]
Productos relacionados
Windows RT
Skype for Windows
Microsoft Windows Vista
Microsoft Windows Server 2012
Microsoft Windows Server 2008
Microsoft Windows 7
Microsoft Windows 10
Microsoft Office Professional Plus 2010
Microsoft Office
CVE-IDS
?

CVE-2017-0108
CVE-2017-0073
CVE-2017-0063
CVE-2017-0062
CVE-2017-0061
CVE-2017-0060
CVE-2017-0047
CVE-2017-0025
CVE-2017-0014
CVE-2017-0005
CVE-2017-0001
CVE-2017-0038

Notas informativas oficiales de Microsoft
MS17-013
Listado KB

4013075
4012583
4017018
4012584
4012497
4012212
4012215
4012213
4012216
4012214
4012217
4012606
4013198
4013429
4012497
3127945
3127958
3141535
3172539
3178653
3178656
3178688
3178693
4010299
4010300
4010301
4010303
4010304
4013867


Enlace al original