Boletín de seguridad de Microsoft MS09-037 - Crítica

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• Los factores atenuantes y las soluciones provisionales para los componentes y controles potencialmente vulnerables se encuentran en el documento informativo sobre seguridad de Microsoft (973882).

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Los factores atenuantes y las soluciones provisionales para los componentes y controles potencialmente vulnerables se encuentran en el documento informativo sobre seguridad de Microsoft (973882).

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de ejecución remota de código. La vulnerabilidad podría permitir la ejecución remota de código si el usuario visita una página web especialmente diseñada con Internet Explorer, con lo que se ejecuta un componente o control vulnerable. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión.

Si un usuario inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cuál es la causa de esta vulnerabilidad?  
La función CComVariant::ReadFromStream usada en el encabezado ATL no restringe de forma adecuada los datos que no son de confianza leídos de un flujo. Este problema puede provocar que los datos se lean directamente en la pila en vez de leerlos en el área de la memoria asignada a una matriz.

¿Está relacionada esta actualización de seguridad con MS09-032?  
Sí. El boletín de seguridad de Microsoft MS09-032, "Actualización de seguridad acumulativa de bits de interrupción de ActiveX", incluye bits de interrupción para de ActiveX para msvidctl.dll como parte de CVE-2008-0015. Este boletín, MS09-037, también corrige los componentes afectados por CVE-2008-0015. En MS09-032 se proporcionaron bits de interrupción para msvidctl.dll, ya que este componente nunca se diseño para ejecutarse desde Internet Explorer. Los componentes tratados en este boletín se pueden ejecutar y se han actualizado para corregir el problema principal que se trata en CVE-2008-0015.

Si tengo instalada la actualización MS09-032, ¿también necesito instalar esta actualización?  
Sí. Esta actualización de seguridad corrige vulnerabilidades en los componentes de Windows. Al instalar esta actualización, los usuarios se aseguran de que todos los problemas conocidos que provocan los encabezados y las bibliotecas de ATL vulnerables están corregidos para los componentes de Windows principales.

¿Están los controles ActiveX de terceros afectados por este problema?
Aunque esta vulnerabilidad está en Microsoft ATL, no se trata de la versión de ATL incluida con Visual Studio. Los encabezados de ATL afectados se encuentran en un archivo de encabezado privado suministrado con Windows XP y Windows Server 2003. La mayoría de los desarrolladores de terceros usan el archivo de encabezado que se incluye con Visual Studio. Estas aplicaciones no están expuestas a esta vulnerabilidad.

¿Para qué puede utilizar un atacante esta vulnerabilidad?  
Si un usuario tiene un control vulnerable en su sistema y un atacante elude las soluciones descritas en el documento informativo sobre seguridad de Microsoft (973882), el atacante podrá tomar el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Un atacante podría hospedar un sitio web especialmente diseñado para aprovechar esta vulnerabilidad a través de Internet Explorer con un control vulnerable y convencer a un usuario para que visite el sitio web. También puede tratarse de sitios web vulnerables y sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante en todos los casos tendría que detectar un control vulnerable y obligar a los usuarios a visitar estos sitios web. Para ello, tendría que convencerlos para que visitaran el sitio web; por lo general, incitándoles a hacer clic en un vínculo de un mensaje de correo electrónico o en una petición de Instant Messenger que lleven a los usuarios al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Los sistemas con más riesgo de sufrir un ataque son las estaciones de trabajo y los servidores de Servicios de Terminal Server. Los servidores podrían correr un mayor riesgo si algún usuario que no deba tener los suficientes permisos administrativos tuviera la capacidad de iniciar sesiones en el servidor y ejecutar programas. Sin embargo, las prácticas recomendadas desaconsejan permitir esto.

¿Cómo funciona esta actualización?  
La actualización corrige la vulnerabilidad al modificar los componentes y los controles de Windows afectados para restringir la lectura de datos de los flujos que no son de confianza con el fin de garantizar que no se copian directamente en la pila de memoria.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable. En el momento de emitir este boletín de seguridad, Microsoft no había recibido información alguna que indicara que esta vulnerabilidad se hubiera divulgado.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba utilizando esta vulnerabilidad?  
Sí. En el momento de emitir este boletín de seguridad, ¿había recibido Microsoft alguna información que indicara que se estaba usando esta vulnerabilidad?

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• Los factores atenuantes y las soluciones provisionales para los componentes y controles potencialmente vulnerables se encuentran en el documento informativo sobre seguridad de Microsoft (973882).

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Los factores atenuantes y las soluciones provisionales para los componentes y controles potencialmente vulnerables se encuentran en el documento informativo sobre seguridad de Microsoft (973882).

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de ejecución remota de código. La vulnerabilidad podría permitir la ejecución remota de código si el usuario visita una página web especialmente diseñada con Internet Explorer, con lo que se ejecuta un componente o control vulnerable. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión.

Si un usuario inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cuál es la causa de esta vulnerabilidad?  
La vulnerabilidad se debe a un error en el método Load de la interfaz IPersistStreamInit. El método Load podría permitir llamadas a memcopy con datos que no son de confianza.

¿Están los controles ActiveX de terceros afectados por este problema?
Aunque esta vulnerabilidad está en Microsoft ATL, no se trata de la versión de ATL incluida con Visual Studio. Los encabezados de ATL afectados se encuentran en un archivo de encabezado privado suministrado con Windows XP y Windows Server 2003. La mayoría de los desarrolladores de terceros usan el archivo de encabezado que se incluye con Visual Studio. Estas aplicaciones no están expuestas a este error.

¿Para qué puede utilizar un atacante esta vulnerabilidad?  
Si un usuario tiene un control vulnerable en su sistema y un atacante elude las soluciones descritas en el documento informativo sobre seguridad de Microsoft (973882), el atacante podrá tomar el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Un atacante podría hospedar un sitio web especialmente diseñado para aprovechar esta vulnerabilidad a través de Internet Explorer con un control vulnerable y convencer a un usuario para que visite el sitio web. También puede tratarse de sitios web vulnerables y sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante en todos los casos tendría que detectar un control vulnerable y obligar a los usuarios a visitar estos sitios web. Para ello, tendría que convencerlos para que visitaran el sitio web; por lo general, incitándoles a hacer clic en un vínculo de un mensaje de correo electrónico o en una petición de Instant Messenger que lleven a los usuarios al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Los sistemas con más riesgo de sufrir un ataque son las estaciones de trabajo y los servidores de Servicios de Terminal Server. Los servidores podrían correr un mayor riesgo si algún usuario que no deba tener los suficientes permisos administrativos tuviera la capacidad de iniciar sesiones en el servidor y ejecutar programas. Sin embargo, las prácticas recomendadas desaconsejan permitir esto.

¿Cómo funciona esta actualización?  
La actualización corrige el problema al modificar los componentes y los controles de Windows para restringir el método Load de la interfaz IPersistStreamInit para permitir sólo llamadas a memcopy con datos de confianza.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable. En el momento de emitir este boletín de seguridad, Microsoft no había recibido información alguna que indicara que esta vulnerabilidad se hubiera divulgado.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba utilizando esta vulnerabilidad?  
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• Los factores atenuantes y las soluciones provisionales para los componentes y controles potencialmente vulnerables se encuentran en el documento informativo sobre seguridad de Microsoft (973882).

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Los factores atenuantes y las soluciones provisionales para los componentes y controles potencialmente vulnerables se encuentran en el documento informativo sobre seguridad de Microsoft (973882).

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de ejecución remota de código. La vulnerabilidad podría permitir la ejecución remota de código si el usuario visita una página web especialmente diseñada con Internet Explorer que ejecuta un componente o control vulnerable. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión.

Si un usuario inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cuál es la causa de esta vulnerabilidad?  
La vulnerabilidad se produce por un problema en los encabezados ATL que podría permitir que un atacante llamar a VariantClear() en una variante variant que no se ha inicializado correctamente. Para los desarrolladores que han creado un componente o un control con ATL de esta manera, el componente o control resultante podría permitir la ejecución remota de código en el contexto del usuario que ha iniciado la sesión.

¿Para qué puede utilizar un atacante esta vulnerabilidad?  
Si un usuario tiene un control vulnerable en su sistema y un atacante elude las soluciones descritas en el documento informativo sobre seguridad de Microsoft (973882), el atacante podrá tomar el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Un atacante podría hospedar un sitio web especialmente diseñado para aprovechar esta vulnerabilidad a través de Internet Explorer con un control vulnerable y convencer a un usuario para que visite el sitio web. También puede tratarse de sitios web vulnerables y sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante en todos los casos tendría que detectar un control vulnerable y obligar a los usuarios a visitar estos sitios web. Para ello, tendría que convencerlos para que visitaran el sitio web; por lo general, incitándoles a hacer clic en un vínculo de un mensaje de correo electrónico o en una petición de Instant Messenger que lleven a los usuarios al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.

¿Están los controles ActiveX de terceros afectados por este problema?
Algunos componentes y controles de terceros pueden estar afectados por este problema si se han cumplido determinadas condiciones durante la generación de los componentes y controles. Microsoft recomienda que los desarrolladores sigan las orientaciones que se proporcionan en el boletínMS09-035 de Visual Studio para modificar y volver a crear todos los componentes y controles afectados por las vulnerabilidades descritas en este boletín.

Soy un desarrollador de aplicaciones de terceros y uso ATL en mis componentes y controles. ¿Mis componentes y controles son vulnerables? En caso afirmativo, ¿cómo debo actualizarlos?  
Para obtener instrucciones acerca de cómo determinar si los componentes y los controles son vulnerables y cómo actualizarlos, vea el siguiente artículo de MSDN.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Los sistemas con más riesgo de sufrir un ataque son las estaciones de trabajo y los servidores de Servicios de Terminal Server. Los servidores podrían correr un mayor riesgo si algún usuario que no deba tener los suficientes permisos administrativos tuviera la capacidad de iniciar sesiones en el servidor y ejecutar programas. Sin embargo, las prácticas recomendadas desaconsejan permitir esto.

¿Cómo funciona esta actualización?  
La actualización corrige el problema al actualizar los componentes y los controles de Windows para garantizar que VariantClear() sólo se puede llamar en variantes variant no inicializadas.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable. En el momento de emitir este boletín de seguridad, Microsoft no había recibido información alguna que indicara que esta vulnerabilidad se hubiera divulgado.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba utilizando esta vulnerabilidad?  
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• Los factores atenuantes y las soluciones provisionales para los componentes y controles potencialmente vulnerables se encuentran en el documento informativo sobre seguridad de Microsoft (973882).

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Los factores atenuantes y las soluciones provisionales para los componentes y controles potencialmente vulnerables se encuentran en el documento informativo sobre seguridad de Microsoft (973882).

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de ejecución remota de código. La vulnerabilidad podría permitir la ejecución remota de código si el usuario visita una página web especialmente diseñada con Internet Explorer, con lo que se ejecuta un componente o control vulnerable. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión.

Si un usuario inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cuál es la causa de esta vulnerabilidad?  
La vulnerabilidad se produce por errores en los encabezados ATL que tratan la ejecución de un objeto a partir de los flujos de datos. Para los componentes y los controles creados con ATL, el uso no seguro de OleLoadFromStream podría permitir la ejecución de objetos arbitrarios que podrían omitir determinadas directivas de seguridad.

¿Para qué puede utilizar un atacante esta vulnerabilidad?  
Si un usuario tiene un control vulnerable en su sistema y un atacante elude las soluciones descritas en el documento informativo sobre seguridad de Microsoft (973882), si el usuario ha iniciado sesión con derechos administrativos el atacante podrá tomar el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Un atacante podría hospedar un sitio web especialmente diseñado para aprovechar esta vulnerabilidad a través de Internet Explorer con un control vulnerable y convencer a un usuario para que visite el sitio web. También puede tratarse de sitios web vulnerables y sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante en todos los casos tendría que detectar un control vulnerable y obligar a los usuarios a visitar estos sitios web. Para ello, tendría que convencerlos para que visitaran el sitio web; por lo general, incitándoles a hacer clic en un vínculo de un mensaje de correo electrónico o en una petición de Instant Messenger que lleven a los usuarios al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.

¿Están los controles ActiveX de terceros afectados por este problema?
Algunos componentes y controles de terceros pueden estar afectados por este problema si se han cumplido determinadas condiciones durante la generación de los componentes y controles. Microsoft recomienda que los desarrolladores sigan las orientaciones que se proporcionan en el boletínMS09-035 de Visual Studio para modificar y volver a crear todos los componentes y controles afectados por las vulnerabilidades descritas en este boletín.

Soy un desarrollador de aplicaciones de terceros y uso ATL en mis componentes y controles. ¿Mis componentes y controles son vulnerables? En caso afirmativo, ¿cómo debo actualizarlos?  
Para obtener instrucciones acerca de cómo determinar si los componentes y los controles son vulnerables y cómo actualizarlos, vea el siguiente artículo de MSDN.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Los sistemas con más riesgo de sufrir un ataque son las estaciones de trabajo y los servidores de Servicios de Terminal Server. Los servidores podrían correr un mayor riesgo si algún usuario que no deba tener los suficientes permisos administrativos tuviera la capacidad de iniciar sesiones en el servidor y ejecutar programas. Sin embargo, las prácticas recomendadas desaconsejan permitir esto.

¿Cómo funciona esta actualización?  
La actualización corrige la vulnerabilidad al modificar la manera en que ATL trata la ejecución de objetos desde el flujo de datos y al proporcionar versiones actualizadas de los componentes y los controles de Windows creados con los encabezados ATL corregidos.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable. En el momento de emitir este boletín de seguridad, Microsoft no había recibido información alguna que indicara que esta vulnerabilidad se hubiera divulgado.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba utilizando esta vulnerabilidad?  
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• Los factores atenuantes y las soluciones provisionales para los componentes y controles potencialmente vulnerables se encuentran en el documento informativo sobre seguridad de Microsoft (973882).

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Los factores atenuantes y las soluciones provisionales para los componentes y controles potencialmente vulnerables se encuentran en el documento informativo sobre seguridad de Microsoft (973882).

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de ejecución remota de código. La vulnerabilidad podría permitir la ejecución remota de código si el usuario visita una página web especialmente diseñada con Internet Explorer, con lo que se ejecuta un componente o control vulnerable. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión.

Si un usuario inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cuál es la causa de esta vulnerabilidad?  
La vulnerabilidad la provoca un error en el encabezado ATL que podría permitir la lectura de una variante variant de un flujo y dejar el tipo variant leído con una variante variant no válida. Al eliminar la variante variant, se pueden liberar áreas no previstas en la memoria que podría controlar un atacante, dando lugar a contenido de memoria incoherente y a la ejecución de código malintencionado.

¿Están los controles ActiveX de terceros afectados por este problema?
Aunque esta vulnerabilidad está en Microsoft ATL, no se trata de la versión de ATL incluida con Visual Studio. Los encabezados de ATL afectados se encuentran en un archivo de encabezado privado suministrado con Windows XP y Windows Server 2003. La mayoría de los desarrolladores de terceros usan el archivo de encabezado que se incluye con Visual Studio. Estas aplicaciones no están expuestas a este problema.

¿Para qué puede utilizar un atacante esta vulnerabilidad?  
Si un usuario tiene un control vulnerable en su sistema y un atacante elude las soluciones descritas en el documento informativo sobre seguridad de Microsoft (973882), si el usuario ha iniciado sesión con derechos administrativos el atacante podrá tomar el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Un atacante podría hospedar un sitio web especialmente diseñado para aprovechar esta vulnerabilidad a través de Internet Explorer con un control vulnerable y convencer a un usuario para que visite el sitio web. También puede tratarse de sitios web vulnerables y sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante en todos los casos tendría que detectar un control vulnerable y obligar a los usuarios a visitar estos sitios web. Para ello, tendría que convencerlos para que visitaran el sitio web; por lo general, incitándoles a hacer clic en un vínculo de un mensaje de correo electrónico o en una petición de Instant Messenger que lleven a los usuarios al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Los sistemas con más riesgo de sufrir un ataque son las estaciones de trabajo y los servidores de Servicios de Terminal Server. Los servidores podrían correr un mayor riesgo si algún usuario que no deba tener los suficientes permisos administrativos tuviera la capacidad de iniciar sesiones en el servidor y ejecutar programas. Sin embargo, las prácticas recomendadas desaconsejan permitir esto.

¿Cómo funciona esta actualización?  
La actualización corrige el problema al validar correctamente variantes variant leídas de un flujo y proporcionar versiones actualizadas de los componentes y de los controles de Windows creados con los encabezados ATL corregidos.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable. En el momento de emitir este boletín de seguridad, Microsoft no había recibido información alguna que indicara que esta vulnerabilidad se hubiera divulgado.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba utilizando esta vulnerabilidad?  
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

Tabla de referencias

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencias

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Nota Para versiones compatibles de Microsoft Windows XP Professional x64 Edition, esta actualización de seguridad es la misma que la actualización de seguridad de Windows Server 2003 x64 Edition.

Tabla de referencias

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencias

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencias

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.