Documento informativo sobre seguridad de Microsoft (969898)

Conjunto de actualizaciones de bits de interrupción de ActiveX

Publicado: martes, 09 de junio de 2009 | Actualizado: miércoles, 17 de junio de 2009

Versión: 1.1

Microsoft publica un nuevo conjunto de bits de interrupción de ActiveX con este documento informativo.

La actualización incluye un bit de interrupción de una actualización acumulativa de Microsoft publicada anteriormente:

Actualización acumulativa de Microsoft Visual Basic 6.0 Service Pack 6 (KB957924)

La actualización también incluye bits de interrupción para el siguiente software de terceros:

Microgaming. Esta actualización de seguridad configura un bit de interrupción para un control ActiveX desarrollado por Microgaming. Microgaming ha publicado una actualización de seguridad que se ocupa de una vulnerabilidad en el componente afectado. Para obtener más información y ubicaciones de descarga, vea la publicación de seguridad de Microgaming. Este bit de interrupción se configurará con el permiso del propietario de los controles ActiveX. Los identificadores de clase (CLSID) de este control ActiveX son los enumerados en la sección Preguntas más frecuentes de este documento informativo.
Componente de carga avanzada de imágenes de eBay. Esta actualización de seguridad configura un bit de interrupción para un control ActiveX desarrollado por eBay. eBay ha publicado una actualización de seguridad que se ocupa de una vulnerabilidad en el componente afectado. Para obtener más información y ubicaciones de descarga, vea la publicación de seguridad de eBay. Este bit de interrupción se configurará con el permiso del propietario de los controles ActiveX. Los identificadores de clase (CLSID) de este control ActiveX son los enumerados en la sección Preguntas más frecuentes de este documento informativo.
HP Virtual Room v7.0. Esta actualización de seguridad configura un bit de interrupción para un control ActiveX desarrollado por Research in Motion (RIM). RIM ha publicado una actualización de seguridad que se ocupa de una vulnerabilidad en el componente afectado. Para obtener más información y ubicaciones de descarga, vea la publicación de seguridad de HP. Este bit de interrupción se configurará con el permiso del propietario de los controles ActiveX. Los identificadores de clase (CLSID) de este control ActiveX son los enumerados en la sección Preguntas más frecuentes de este documento informativo.

Para obtener más información acerca de cómo instalar esta actualización, consulte el artículo 969898 de Microsoft Knowledge Base.

Información general

Descripción general

Referencias	Identificación
Referencia CVE	CVE-2008-0024
En el artículo de Microsoft Knowledge Base	969898


Software relacionado
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 y Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP2 para sistemas con Itanium
Windows Vista, Windows Vista Service Pack 1 y Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 y Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas de 32 bits y Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas x64 y Windows Server 2008 para sistemas x64 Service Pack 2
Windows Server 2008 para sistemas con Itanium y Windows Server 2008 para sistemas con Itanium Service Pack 2

Preguntas frecuentes

¿Los usuarios con una instalación de Windows Server 2008 Server Core necesitan instalar esta actualización?
Los usuarios con una instalación de Windows Server 2008 Server Core no necesitan instalar esta actualización. Para obtener más información acerca de la opción de instalación de Server Core, vea Server Core. Tenga en cuenta que la opción de instalación Server Core no se aplica a determinadas ediciones de Windows Server 2008; vea Comparar opciones de instalación de Server Core.

¿Por qué este documento informativo no tiene asociada una clasificación de seguridad?
Esta actualización contiene un bit de interrupción para una actualización publicada anteriormente en un Service Pack así como bits de interrupción para controles de terceros que no pertenecen a Microsoft. Microsoft no proporciona una clasificación de seguridad para Service Packs o controles de terceros vulnerables.

¿Esta actualización reemplaza la actualización de seguridad acumulativa de bits de interrupción de ActiveX (950760)?
No, en lo que respecta al sistema de actualizaciones automáticas, esta actualización no reemplaza la actualización de seguridad acumulativa de bits de interrupción de ActiveX (950760) que se describe en el boletín de seguridad de Microsoft MS08-032. El sistema de actualizaciones automáticas seguirá ofreciendo la actualización MS08-032 a los clientes independientemente de si han instalado esta actualización (969898). No obstante, los clientes que instalen esta actualización (969898) no deberán instalar la actualización MS08-032 para estar protegidos con todos los bits de interrupción establecidos en MS08-032.

¿Por qué publica Microsoft este conjunto de actualizaciones de bits de interrupción de ActiveX con un documento informativo de seguridad cuando las actualizaciones de bits de interrupción anteriores se publicaron con un boletín sobre seguridad?
Microsoft publica este conjunto de actualizaciones de bits de interrupción de ActiveX con un documento informativo porque los nuevos bits de interrupción no afectan al software de Microsoft o se han configurado anteriormente en una actualización de software de Microsoft.

¿Esta actualización contiene bits de interrupción que se hayan publicado anteriormente en un conjunto de actualizaciones de bits de interrupción de ActiveX?
Sí, esta actualización también incluye bits de interrupción que se han establecido anteriormente en el documento informativo sobre seguridad de Microsoft 960715.

¿Esta actualización contiene bits de interrupción publicados anteriormente en una actualización de seguridad de Internet Explorer?
No, esta actualización no incluye bits de interrupción que se hayan publicado anteriormente en una actualización de seguridad de Internet Explorer. Se recomienda instalar la última actualización de seguridad acumulativa para Internet Explorer.

¿Qué es un bit de interrupción?
Una característica de seguridad en Microsoft Internet Explorer impide que el motor de proceso HTML de Internet Explorer cargue un control ActiveX. Esto se realiza mediante la creación de una configuración del Registro y se conoce como establecimiento del bit de interrupción. Después de establecer el bit de interrupción, el control no podrá cargarse, aunque esté instalado correctamente. El establecimiento del bit de interrupción garantiza que aunque un componente vulnerable consiga entrar o volver a entrar en un sistema permanecerá inactivo y no provocará ningún daño.

Para obtener más información, consulte el artículo 240797 de Microsoft Knowledge Base: Cómo impedir la ejecución de un control ActiveX en Internet Explorer.

¿Qué es una actualización de seguridad de los bits de interrupción de ActiveX?
Esta actualización de seguridad sólo contiene los id. de clase (CLSID) de determinados controles ActiveX que son la base de esta actualización de seguridad.

¿Por qué no contiene esta actualización archivos binarios?
Esta actualización sólo realiza cambios en el Registro para impedir que el control se ejecute en Internet Explorer.

¿Debo instalar esta actualización si no tengo instalado el componente afectado ni uso la plataforma afectada?
Sí. La instalación de esta actualización impedirá que el control vulnerable se ejecute en Internet Explorer.

¿Necesito volver a aplicar esta actualización si posteriormente instalo un control ActiveX descrito en una actualización de seguridad?
No, no se requiere volver a aplicar esta actualización. El bit de interrupción impedirá que Internet Explorer ejecute el control aunque se vuelva a instalar posteriormente.

¿Cómo funciona la actualización?
Esta actualización configura el bit de interrupción para una lista de identificadores de clase (CLSID).

Los siguientes identificadores de clase se relacionan con el control cargador ATL de MSCOMM32.OCX corregido en la actualización acumulativa de Microsoft Visual Basic 6.0 Service Pack 6 (KB957924):


Identificador de clase
{648A5600-2C6E-101B-82B6-000000000014}

El siguiente identificador de clase se relaciona con una solicitud de Microgaming para establecer un bit de interrupción para un identificador de clase que es vulnerable. En la publicación de seguridad de Microgaming se pueden encontrar más detalles:


Identificador de clase
{D8089245-3211-40F6-819B-9E5E92CD61A2}

El siguiente identificador de clase se relaciona con una solicitud de eBay para establecer un bit de interrupción para un identificador de clase que es vulnerable. En la publicación de seguridad de eBay se pueden encontrar más detalles:


Identificador de clase
{4C39376E-FA9D-4349-BACC-D305C1750EF3}
{C3EB1670-84E0-4EDA-B570-0B51AAE81679}

El siguiente identificador de clase se relaciona con una solicitud de HP para establecer un bit de interrupción para un identificador de clase que es vulnerable. En la publicación de seguridad de HP se pueden encontrar más detalles:


Identificador de clase
{00000032-9593-4264-8B29-930B3E4EDCCD}

Acciones recomendadas

Información adicional:

Agradecimientos

Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

Robert Freeman, de ISS X-Force, por informar de la vulnerabilidad de ejecución remota de código en el cargador ATL de MSCOMM32.OCX (CVE-2008-0024)

Recursos:

Puede proporcionar comentarios si rellena el formulario en Ayuda y soporte técnico de Microsoft: Póngase en contacto con nosotros.
Puede solicitar soporte técnico en los Servicios de soporte técnico de Microsoft o a través del teléfono 902 197 198.
Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite Soporte técnico internacional.
Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft.

Renuncia:

La información proporcionada en este documento informativo se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones:

V1.0 (9 de junio de 2009): Documento informativo publicado
V1.1 (17 de junio de 2009): Se ha agregado una entrada a las Preguntas más frecuentes para comunicar que, en lo que respecta al sistema de actualizaciones automáticas, esta actualización no reemplaza la actualización de seguridad acumulativa de bits de interrupción de ActiveX (950760) que se describe en el boletín de seguridad de Microsoft MS08-032.