Documento informativo sobre seguridad de Microsoft (973882)

Finalidad del documento informativo: Este documento informativo se ha publicado para ofrecer a los clientes una notificación inicial de la vulnerabilidad que se dio a conocer recientemente. Consulte las secciones Soluciones provisionales, Factores atenuantes y Acciones recomendadas de este documento informativo sobre seguridad.

Estado del documento informativo: Publicación del documento informativo.

Recomendación: Revisar y configurar las acciones sugeridas según corresponda.

Este documento informativo trata sobre el software que se indica a continuación.

¿Cuál es el alcance de este documento informativo?
Microsoft tiene constancia de vulnerabilidades que afectan a componentes y controles creados con las versiones públicas y privadas de Active Template Library (ATL). La finalidad del documento informativo es notificar a los usuarios las actualizaciones que pueden ayudarles a atenuar el riesgo de controles y componentes vulnerables, ofrecer orientación e instrucciones a los desarrolladores que han creado controles y componentes con la versión vulnerable de ATL y, a los profesionales de TI, indicarles cómo proteger e instalar los factores atenuantes en su entorno.

¿Microsoft publicará actualización de seguridad adicionales relacionadas con este documento informativo sobre seguridad en el futuro?
La investigación de Microsoft acerca de los encabezados privados y públicos de ATL está en curso y publicaremos actualizaciones de seguridad y orientación según resulte adecuado como parte del proceso de investigación.

¿La vulnerabilidad msvidctl (MS09-032) está relacionada con esta actualización de ATL?
Sí, el ataque de msvidctl aprovechaba una vulnerabilidad en una versión privada de ATL. En este caso específico, la vulnerabilidad permite que un atacante provoque daños en la memoria, lo que puede conllevar la ejecución remota de código. MS09-032, anteriormente publicado el 14 de julio, bloquea los ataques conocidos a msvidctl. Para obtener más información acerca de la vulnerabilidad en msvidctl, vea http://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspx.

¿La actualización de Internet Explorer (ms09-034) también protegerá de los ataques de msvidctl?
Sí, los factores atenuantes de Internet Explorer protegerán de las vulnerabilidades conocidas en las versiones públicas y privadas de ATL, incluidos los ataques de msvdictl.

¿Qué es ATL?
Active Template Library (ATL) es un conjunto de clases C++ basadas en plantillas que permiten crear objetos COM (modelo de objetos componentes) pequeños y rápidos. ATL tiene una compatibilidad especial con las características de COM clave, incluidas las implementaciones de existencias, interfaces duales, interfaces de enumerador COM estándar, puntos de conexión, interfaces de extracción y controles ActiveX. Para obtener más información, vea el siguiente de MSDN, ATL.

¿Cuál es la causa de esta amenaza en ATL?
En algunos casos, el problema se debe al modo en que se usa ATL y, en otros, se debe al propio código de ATL. En estos casos, las secuencias de datos se pueden tratar incorrectamente, lo que puede conllevar daños en la memoria, divulgación de la información y la ejecución de objetos sin tener en cuenta la directiva de seguridad. Para obtener más información acerca de las vulnerabilidades tratadas en ATL, vea MS09-035, "Vulnerabilidades en Visual Studio Active Template Library podrían permitir la ejecución remota de código".

¿Cuáles son las diferencias entre las versiones públicas y privadas de Active Template Library?
La versión privada de Active Template Library la usan los desarrolladores de Microsoft para crear controles y componentes. Microsoft ha actualizado todas las versiones de Active Template Library que usan nuestros desarrolladores.

La versión pública de Active Template Library se distribuye a los clientes a través de herramientas para desarrolladores, como Microsoft Visual Studio. Microsoft proporciona una versión actualizada de nuestra ATL pública a través del boletín de seguridad de Microsoft MS09-035.

¿Las vulnerabilidades de seguridad en ATL requerirán que Microsoft y los desarrolladores de terceros publiquen actualizaciones de seguridad?
Sí. Además de las actualizaciones de boletín descritas en este documento informativo, Microsoft está llevando a cabo una investigación exhaustiva de los controles y los componentes de Microsoft. Una vez terminada la investigación, Microsoft tomará las medidas apropiadas para proteger a sus clientes. Dichas medidas podrían incluir una actualización de seguridad en nuestra publicación mensual, o bien una actualización de seguridad fuera de banda, según las necesidades de los clientes.

Microsoft también proporciona orientación y está estableciendo contactos de forma activa con los principales desarrolladores de terceros para ayudarlos a identificar los controles y componentes vulnerables. Esto puede dar como resultado actualizaciones de seguridad de controles y componentes de terceros.

¿Cómo se distribuirá la actualización de Windows Live Messenger?
Después de suscribirse al servicio de Windows Live Messenger, el mecanismo de implementación de cliente en dicho servicio pedirá a los usuarios de Windows Live Messenger 8.1, Windows Live Messenger 8.5 y Windows Live Messenger 14.0 en las versiones compatibles de Windows que acepten la actualización a Windows Live Messenger 14.0.8089. Asimismo, los usuarios que deseen descargar la actualización a Windows Live Messenger 14.0.8089 inmediatamente, pueden hacerlo con el Centro descarga de Windows Live. Si no se actualizan, los usuarios de versiones vulnerables de los clientes de Windows Live Messenger no podrán conectarse al servicio de Windows Live Messenger.

¿Por qué Microsoft publica la actualización a Windows Live Messenger a través del servicio de Windows Live Messenger y también proporciona descargas?
Microsoft publica actualmente actualizaciones del cliente de Windows Live Messenger mediante el servicio de Windows Live Messenger porque estos servicios en línea disponen de un mecanismo de implementación de cliente propio. No obstante, los vínculos del Centro de descarga de Microsoft también están disponibles para clientes de Windows Live Messenger específicos. Los usuarios que deseen descargar las actualizaciones inmediatamente pueden hacerlo en el Centro de descarga de Windows Live.

Si se trata de una actualización, ¿cómo puedo detectar si tengo una versión vulnerable de Windows Live Messenger?  
Cuando intente iniciar sesión en el servicio de Windows Live Messenger, el mecanismo de implementación de cliente determinará automáticamente su versión del cliente y plataforma actuales y, si es necesario, recomendará la actualización adecuada. Además, puede comprobar la versión del cliente de Windows Live Messenger si hace clic en Ayuda y, a continuación, en Acerca de.

¿Qué sucede si no actualizo a la versión más actual de Windows Live Messenger?
Si no actualiza a una versión no afectada del cliente de Windows Live Messenger, según la plataforma, se le pedirá que se actualice cada vez que intente iniciar sesión. Si no acepta la actualización, no tendrá acceso al servicio de Windows Live Messenger.

¿Están afectadas por esta vulnerabilidad otras aplicaciones de colaboración en tiempo real de Microsoft como Windows Messenger u Office Communicator?
No. Otras aplicaciones de mensajería no están afectadas ya que no contienen el componente vulnerable.

¿Cuándo quitó Microsoft la característica "Adjuntar foto" de Windows Live Hotmail? ¿Coincidió con el lanzamiento de otra característica nueva?
Microsoft tomó recientemente la decisión de quitar la característica a corto plazo para corregir el problema. La eliminación temporal de esta característica no coincidió con el lanzamiento de otra característica.

¿Cuál es la última previsión para que la característica "Adjuntar foto" se restaure por completo para todos los usuarios de Windows Live Hotmail?
Microsoft trabaja activamente para corregir el problema. Mientras tanto, todavía puede agregar imágenes como datos adjuntos a sus mensajes de Hotmail si hace clic en Adjuntar y, a continuación, selecciona la imagen que desea incluir.

¿Cuál es la causa de esta amenaza en ATL?
En algunos casos, el problema se debe al modo en que se usa ATL y, en otros, se debe al propio código de ATL. En estos casos, las secuencias de datos se pueden tratar incorrectamente, lo que puede conllevar daños en la memoria, divulgación de la información y la ejecución de objetos sin tener en cuenta la directiva de seguridad. Para obtener más información acerca de las vulnerabilidades tratadas en ATL, vea MS09-035, "Vulnerabilidades en Visual Studio Active Template Library podrían permitir la ejecución remota de código".

¿Para qué puede utilizar un atacante esta vulnerabilidad?
En el caso de los controles y componentes creados con ATL, un uso no seguro de determinadas macros podría permitir la ejecución de objetos arbitrarios que podrían omitir la directiva de seguridad de ActiveX relacionada (es decir, los bits de interrupción) desde Internet Explorer. Además, los componentes y los controles creados con la versión vulnerable de ATL pueden ser vulnerables a las amenazas de ejecución remota de código o divulgación de información. Si un usuario inicia sesión con derechos de usuario administrativos y tiene un control vulnerable en su sistema, un atacante podría tomar el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Soy un desarrollador de aplicaciones de terceros y uso ATL en mi componente o control. ¿Es mi componente o control vulnerable y, en caso afirmativo, como lo actualizo?  
Los componentes y los controles pueden estar afectados por este problema si se cumplen determinadas condiciones durante la creación del componente o del control. MS09-035 contiene información adicional, ejemplos y orientación que los desarrolladores de terceros pueden usar para detectar y corregir componentes y controles vulnerables.

¿Cuál es la finalidad de la actualización de seguridad de Visual Studio?
Estas actualizaciones corrigen las vulnerabilidades de Microsoft Active Template Library (ATL) que podrían permitir que un usuario remoto no autenticado ejecutara código arbitrario en un sistema afectado. En algunos casos, estas vulnerabilidades se deben a la forma en que se usa ATL y, en otros, al propio código de ATL. Como estas vulnerabilidades afectan a ATL, los componentes o los controles que se han desarrollado con ATL pueden exponer a los clientes que usan los controles y componentes afectados a escenarios de ejecución remota de código.

La actualización de seguridad para Visual Studio actualiza la versión vulnerable de ATL que usa Visual Studio. Esto permite a los usuarios de Visual Studio modificar y regenerar sus controles y componentes con una versión actualizada de ATL.

Nuestra investigación ha demostrado que los componentes y los controles tanto de Microsoft como de terceros están afectados por este problema. Por lo tanto, todos los proveedores afectados deben modificar, y regenerar, sus componentes y controles con la biblioteca ATL proporcionada en el boletín de seguridad de Microsoft MS09-035.

¿La actualización de IE MS09-034 me protege de todos los componentes y controles que se crearon con la versión vulnerable de ATL?
Para ayudar a proteger a los clientes mientras los desarrolladores actualizan sus componentes y controles, Microsoft ha desarrollado una nueva tecnología de defensa. Esta nueva tecnología de defensa integrada en Internet Explorer ayuda a proteger a los clientes de ataques futuros con las vulnerabilidades de Microsoft Active Template Library descritas en este documento informativo y en el boletín de seguridad de Microsoft MS09-035. El boletín de seguridad de Microsoft MS09-034, "Actualización de seguridad acumulativa para Internet Explorer", incluye un factor atenuante que impide que los componentes y los controles creados con la biblioteca ATL vulnerable sean vulnerables en Internet Explorer, así como la corrección de varias vulnerabilidades relacionadas.

Microsoft sigue investigando todos los controles y los componentes de Microsoft y ayuda a desarrolladores de terceros a evaluar sus controles y componentes.

¿Qué acciones puede realizar un profesional de TI para atenuar la exposición a este problema?
Microsoft recomienda que los profesionales de TI implementen inmediatamente la actualización de seguridad de Internet Explorer que se ofrece en el boletín de seguridad de Microsoft MS09-034, "Actualización de seguridad acumulativa para Internet Explorer".

¿Qué acciones pueden realizar los clientes para atenuar la exposición a este problema?
Para ayudar a proteger a los clientes mientras los desarrolladores actualizan sus componentes y controles, Microsoft ha desarrollado una nueva tecnología de defensa. Esta nueva tecnología de defensa integrada en Internet Explorer ayuda a proteger a los clientes de ataques futuros con las vulnerabilidades de Microsoft Active Template Library descritas en este documento informativo y en el boletín de seguridad de Microsoft MS09-035. Microsoft recomienda que los clientes activen Actualización automática e implementen inmediatamente la actualización de seguridad de Internet Explorer que se ofrece en el boletín de seguridad de Microsoft MS09-034, "Actualización de seguridad acumulativa para Internet Explorer". Los usuarios domésticos que reciben actualizaciones automáticas recibirán los factores atenuantes que se proporcionan en la actualización acumulativa para IE y otras actualizaciones de seguridad relacionadas con este problema, por lo que no deben realizar ninguna acción.

Microsoft también recomienda a los usuarios domésticos que se actualicen a Internet Explorer 8 para beneficiarse de la seguridad ampliada y de las protecciones.

¿Cuál es la causa de esta amenaza que podría permitir la omisión de la seguridad de ActiveX?
Los controles ActiveX creados con métodos ATL vulnerables pueden no validar correctamente la información. Esto podría tener como resultado que un control ActiveX permita que se dañe la memoria o que un atacante aproveche un control ActivExchange de confianza para cargar un control ActiveX que no sea de confianza cuya ejecución en Internet Explorer se había bloqueado anteriormente.

Las nuevas protecciones de defensa ofrecidas en MS09-034 incluyen actualizaciones para Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 Service Pack 1, Internet Explorer 7 e Internet Explorer 8 que supervisan e impiden que se aprovechen todas las vulnerabilidades ATL públicas y privadas que se conocen, incluidas las vulnerabilidades que podrían permitir pasar por alto la característica de seguridad de bits de interrupción de IE. Estas protecciones se han diseñado para proteger a los clientes de los ataques basados en web.

¿Para qué puede utilizar un atacante esta función?
Un atacante que aprovechara esta vulnerabilidad en Windows Vista o Windows 2008 sólo obtendría derechos como un usuario restringido debido al modo de protección en Internet Explorer. En otros sistemas Windows, el atacante podría obtener los mismos derechos que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cómo podría usar un atacante esta función?
Un atacante podría hospedar un sitio web diseñado para hospedar un control ActiveX especialmente diseñado y convencer a un usuario para que lo visitara. También puede tratarse de sitios web vulnerables y sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles a hacer clic en un vínculo de un mensaje de correo electrónico o en una petición de Instant Messenger que lleven a los usuarios al sitio web del atacante.

¿Qué es un bit de interrupción?
Una característica de seguridad en Microsoft Internet Explorer impide que el motor de proceso HTML de Internet Explorer cargue un control ActiveX. Esto se realiza mediante la creación de una configuración del Registro y se conoce como "establecimiento del bit de interrupción". Después de establecer el bit de interrupción, el control no podrá cargarse, aunque esté instalado correctamente. El establecimiento del bit de interrupción garantiza que aunque un componente vulnerable consiga entrar o volver a entrar en un sistema permanecerá inactivo y no provocará ningún daño.

Para obtener más información acerca de los bits de interrupción, consulte el artículo 240797 de Microsoft Knowledge Base: Cómo impedir la ejecución de un control ActiveX en Internet Explorer. Para obtener información más detallada acerca de los bits de interrupción y su funcionamiento en Internet Explorer, vea la siguiente publicación del blog acerca de la investigación de seguridad y defensa.

¿Cómo funciona esta actualización?
La actualización refuerza el mecanismo de seguridad de ActiveX al proporcionar validación cuando los controles ActiveX usan métodos que no son seguros con encabezados ATL vulnerables en configuraciones específicas.

¿Esta actualización cambia la funcionalidad?
Sí. Esta actualización ya no permite que determinados conjuntos de métodos ATL se ejecuten en Internet Explorer. La actualización reduce el riesgo de que se omita la seguridad activa al impedir que los controles ActiveX de confianza carguen controles que no son de confianza.

¿Esta actualización contiene cambios de software adicionales?
Sí. Esta actualización también contiene correcciones de seguridad adicionales y otras actualizaciones de Internet Explorer como parte de la actualización acumulativa para Internet Explorer.

¿Esta actualización corrige todos los escenarios de controles ActiveX no seguros?
No. Esta actualización corrige específicamente los controles ActiveX que no son seguros o no son de confianza que puedan ser vulnerables a los problemas de ATL descritos en este documento informativo para proteger a los clientes de los ataques al explorar Internet.

Microsoft sigue investigando este problema. Una vez terminada la investigación, Microsoft tomará las medidas apropiadas para proteger a sus clientes. Dichas medidas podrían incluir una actualización de seguridad en nuestra publicación mensual, o bien una actualización de seguridad fuera de banda, según las necesidades de los clientes.

¿Cómo me protege el modo protegido en Internet Explorer 7 e Internet Explorer 8 en Windows Vista y posterior contra esta vulnerabilidad?
Internet Explorer 7 e Internet Explorer 8 en Windows Vista y sistemas operativos posteriores se ejecutan en modo protegido de forma predeterminada en la zona de seguridad Internet. El modo protegido reduce considerablemente la capacidad de un atacante para escribir, alterar o destruir datos en el equipo del usuario o para instalar código malintencionado. Este proceso se lleva a cabo mediante el uso de mecanismos de integridad de Windows Vista y posterior, que limitan el acceso a procesos, archivos y claves del Registro con niveles de integridad mayores.

¿Qué es la prevención de ejecución de datos (DEP)?
La prevención de ejecución de datos (DEP) está habilitada de forma predeterminada en Internet Explorer 8. DEP se ha diseñado para ayudar a frustrar los ataques al impedir que el código se ejecute en la memoria que se ha marcado como no ejecutable. Para obtener más información acerca de DEP en Internet Explorer, vea la siguiente publicación: http://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspx.

• Consulte el artículo de Microsoft Knowledge Base asociado a este documento informativo
  
  Los clientes interesados en obtener más información acerca de los problemas de ATL deben consultar el artículo 973882 de Microsoft Knowledge Base.
• Aplique las actualizaciones asociadas a los boletines de seguridad MS09-034 y MS09-035
  
  Los clientes con sistemas afectados pueden descargar las actualizaciones del artículo 969706 de Microsoft Knowledge Base y del artículo 972260 de Microsoft Knowledge Base. La actualización de Internet Explorer proporciona nuevos factores atenuantes que impiden la ejecución de controles ActiveX vulnerables en Internet Explorer 7 y 8. La actualización de Visual Studio permite a los desarrolladores crear controles ActiveX que no están afectados por estas vulnerabilidades.
• Proteja su PC
  
  Seguimos recomendando a los clientes que apliquen los consejos de la sección Proteja su PC; a saber: habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. La información completa al respecto puede consultarse en el sitio web Proteja su equipo.
• Para obtener más información acerca de la seguridad en Internet, los clientes deben visitar Central de seguridad de Microsoft.
• Mantenga actualizado Windows
  
  Todos los usuarios de Windows deben aplicar las actualizaciones de seguridad más recientes para que sus equipos cuenten con el máximo nivel de protección posible. Si tiene dudas acerca de si su software está actualizado, visite Windows Update, explore las actualizaciones disponibles para el equipo e instale las actualizaciones importantes que se le ofrezcan. Si tiene la función Actualizaciones automáticas activada, recibirá las actualizaciones en cuanto estén disponibles; asegúrese de instalarlas.