Documento informativo sobre seguridad de Microsoft (2749655)
Problemas de compatibilidad que afectan a los archivos binarios de Microsoft firmados
Publicado: | Actualizado:
Versión: 2.0
Información general
Resumen ejecutivo
Microsoft tiene constancia de un problema que afecta a los certificados digitales que Microsoft generó sin los atributos de marca de hora adecuados. Estos certificados digitales se usaron posteriormente para firmar algunos componentes básicos de Microsoft y archivos binarios de software. Esto podría provocar problemas de compatibilidad entre los archivos binarios afectados y Microsoft Windows. Aunque no es un problema de seguridad, porque la firma digital de los archivos producidos y firmados por Microsoft expirará en breve, este problema podría afectar negativamente a la capacidad de instalar y desinstalar de forma correcta los componentes de Microsoft afectados y las actualizaciones de seguridad.
Como acción de prevención para ayudar a los clientes, Microsoft proporciona una actualización no relacionada con la seguridad para las versiones compatibles de Microsoft Windows. Esta actualización ayuda a garantizar la compatibilidad entre Microsoft Windows y los archivos binarios del software afectado. Para obtener más información acerca de la actualización, vea el artículo 2749655 de Microsoft Knowledge Base.
Además, Microsoft ofrecerá actualizaciones a medida que están disponibles para los productos afectados por este problema. Estas actualizaciones se pueden proporcionar como parte de actualizaciones publicadas de nuevo o incluidas en otras actualizaciones de software, según las necesidades del cliente.
Recomendación. Microsoft recomienda que los clientes apliquen la actualización KB2749655 y cualquier actualización publicada de nuevo que corrija este problema inmediatamente, mediante el software de administración de actualizaciones o buscando actualizaciones con el servicio Microsoft Update. Vea la Lista de nuevas publicaciones disponibles y las secciones Acciones sugeridas de este documento informativo para obtener más información.
Lista de nuevas publicaciones disponibles
En algunos casos, para satisfacer mejor las necesidades del cliente, Microsoft soluciona este problema con la nueva publicación de las actualizaciones afectadas.
- El 9 de octubre de 2012, Microsoft volvió a publicar la actualización KB723135 para Windows XP. Para obtener más información, vea MS12-053.
- El 9 de octubre de 2012, Microsoft volvió a publicar la actualización KB2705219 para Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2. Para obtener más información, vea MS12-054.
- El 9 de octubre de 2012, Microsoft volvió a publicar la actualización KB2731847 para Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2. Para obtener más información, vea MS12-055.
- El 9 de octubre de 2012, Microsoft volvió a publicar las actualizaciones para Microsoft Exchange Server 2007 Service Pack 3 (KB2756496), Microsoft Exchange Server 2010 Service Pack 1 (KB2756497) y Microsoft Exchange Server 2010 Service Pack 2 (KB2756485). Para obtener más información, vea MS12-058.
- El 9 de octubre de 2012, Microsoft volvió a publicar la actualización KB2661254 para Windows XP. Para obtener más información, vea el documento informativo sobre seguridad de Microsoft 2661254.
- El 13 de noviembre de 2012, Microsoft reemplazó la actualización KB2598361 por la actualización KB2687626 para Microsoft Office 2003 Service Pack 3. Para obtener más información, vea MS12-046.
- El 11 de diciembre de 2012, Microsoft reemplazó la actualización KB2687324 por la actualización KB2687627 para Microsoft XML Core Services 5.0 cuando está instalado en Microsoft Office 2003 Service Pack 3 y reemplazó la actualización KB2596679 por la actualización KB2687497 para Microsoft XML Core Services 5.0 cuando se instala con todas las ediciones afectadas de Microsoft Groove 2007, Microsoft Groove Server 2007 y Microsoft Office SharePoint Server 2007. Para obtener más información, vea MS12-043.
- El 11 de diciembre de 2012, Microsoft reemplazó las actualizaciones KB2553260 y KB2589322 por las actualizaciones KB2687501 y KB2687510, respectivamente, para todas las ediciones afectadas de Microsoft Office 2010. Para obtener más información, vea MS12-057.
- El 11 de diciembre de 2012, Microsoft reemplazó la actualización KB2597171 por la actualización KB2687508 para todas las ediciones afectadas de Microsoft Visio 2010. Para obtener más información, vea MS12-059.
- El 11 de diciembre de 2012, Microsoft reemplazó la actualización KB2687323 por la actualización KB2726929 para todos los controles comunes en todas las variantes afectadas de Microsoft Office 2003, Microsoft Office 2003 Web Components y Microsoft SQL Server 2005. Para obtener más información, vea MS12-060.
Nota sobre la repercusión de no instalar una actualización publicada de nuevo
Los clientes que instalaron las actualizaciones originales están protegidos contra las vulnerabilidades corregidas por las actualizaciones. No obstante, debido a que los archivos firmados incorrectamente, como las imágenes ejecutables, no se considerarán correctamente firmados después de la expiración del certificado de CodeSign usado en el proceso de firma de las actualizaciones originales, es posible que Microsoft Update no instale algunas actualizaciones de seguridad después de la fecha de expiración. Otros efectos son, por ejemplo, que un programa de instalación de aplicaciones pueda mostrar un mensaje de error. También se pueden ver afectadas las soluciones de inclusión en listas blancas de aplicaciones de terceros. La instalación de las actualizaciones publicadas de nuevo soluciona el problema para las actualizaciones afectadas.
Detalles del documento informativo
Referencias del problema
Para obtener más información acerca de este problema, consulte las siguientes referencias:
| Referencias | Identificación |
|---|---|
| Artículos de Microsoft Knowledge Base | 2749655 2756872 |
Software afectado
La actualización asociada con este documento informativo se aplica al siguiente software.
| Software afectado |
|---|
| Sistema operativo |
| Windows XP Service Pack 3 (KB2749655) |
| Windows XP Professional x64 Edition Service Pack 2 (KB2749655) |
| Windows Server 2003 Service Pack 2 (KB2749655) |
| Windows Server 2003 x64 Edition Service Pack 2 (KB2749655) |
| Windows Server 2003 con SP2 para sistemas con Itanium (KB2749655) |
| Windows Vista Service Pack 2 (KB2749655) |
| Windows Vista x64 Edition Service Pack 2 (KB2749655) |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (KB2749655) |
| Windows Server 2008 para sistemas x64 Service Pack 2 (KB2749655) |
| Windows Server 2008 para sistemas con Itanium Service Pack 2 (KB2749655) |
| Windows 7 para sistemas de 32 bits (KB2749655) |
| Windows 7 para sistemas de 32 bits Service Pack 1 (KB2749655) |
| Windows 7 para sistemas x64 (KB2749655) |
| Windows 7 para sistemas x64 Service Pack 1 (KB2749655) |
| Windows Server 2008 R2 para sistemas x64 (KB2749655) |
| Windows Server 2008 R2 para sistemas x64 Service Pack 1 (KB2749655) |
| Windows Server 2008 R2 para sistemas con Itanium (KB2749655) |
| Windows Server 2008 R2 para sistemas con Itanium Service Pack 1 (KB2749655) |
| Windows 8 para sistemas de 32 bits (KB2756872) |
| Windows 8 para sistemas de 64 bits (KB2756872) |
| Windows Server 2012 (KB2756872) |
| Opción de instalación Server Core |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación de Server Core) (KB2749655) |
| Windows Server 2008 para sistemas x64 Service Pack 2 (instalación de Server Core) (KB2749655) |
| Windows Server 2008 R2 para sistemas x64 (instalación de Server Core) (KB2749655) |
| Windows Server 2008 R2 para sistemas x64 Service Pack 1 (instalación de Server Core) (KB2749655) |
| Windows Server 2012 (instalación de Server Core) (KB2756872) |
Preguntas frecuentes
¿Dónde están las actualizaciones para Windows 8 y Windows Server 2012?
Las actualizaciones para Windows 8 y Windows Server 2012 están incluidas en "Actualización acumulativa de disponibilidad general de cliente de Windows 8 y Windows Server 2012" (KB2756872). Para obtener más información y los vínculos de descarga, vea el artículo 2756872 de Microsoft Knowledge Base. Estas actualizaciones también están disponibles en Microsoft Update y Windows Update.
¿Cuál es el alcance de este documento informativo?
La finalidad de este documento informativo es notificar a los clientes de un problema que afecta a los archivos binarios que se firmaron con certificados digitales generados por Microsoft sin los atributos de marca de hora adecuados.
Como acción de prevención para ayudar a los clientes, Microsoft proporciona una actualización no relacionada con la seguridad para las versiones compatibles de Microsoft Windows. Esta actualización ayuda a garantizar la compatibilidad entre Microsoft Windows y los archivos binarios del software afectado.
¿Se trata de una vulnerabilidad de la seguridad que requiere la publicación de una actualización de seguridad por parte de Microsoft?
No. Esta actualización mejora un componente de defensa en profundidad existente para los clientes de Microsoft a fin de contribuir a mejorar las características relacionadas con la seguridad en Windows.
Es un documento informativo sobre seguridad acerca de una actualización no relacionada con la seguridad ¿No es contradictorio?
Los documentos informativos sobre seguridad tratan cambios en la seguridad que pueden no requerir un boletín de seguridad pero que pueden afectar a la seguridad general de los clientes. Los documentos informativos sobre seguridad constituyen una forma que tiene Microsoft para comunicar información relacionada con la seguridad a los clientes acerca de problemas que no se pueden clasificar como vulnerabilidades y pueden no requerir un boletín de seguridad, o acerca de problemas para los que no se ha publicado ningún boletín de seguridad. En este caso, se comunica la disponibilidad de una actualización que determinará la capacidad de realizar actualizaciones posteriores, incluidas las actualizaciones de seguridad. Por lo tanto, este documento informativo no corrige una vulnerabilidad de seguridad específica, sino, la seguridad general.
Microsoft publica una actualización para este componente a fin de mejorar la estabilidad y la compatibilidad a largo plazo del software y los componentes que usan la función de comprobación de firma Authenticode de Windows.
¿Qué provoca este problema?
Este problema se debe a la ausencia de una extensión de uso mejorado de clave (EKU) de marca de hora durante la generación de certificados y la firma de los componentes y su por básicos de Microsoft. Algunos certificados usados durante dos meses de 2012 no contenían una extensión de uso mejorado de clave (EKU) de marca de hora X.509.
¿Cómo funciona esta actualización?
Esta actualización le ayudará a garantizar la funcionalidad continuada de todo el software que se firmó con un certificado específico que no usó una extensión de uso mejorado de clave (EKU) de marca de hora. Para ampliar su funcionalidad, WinVerifyTrust ignorará la falta de una EKU de marca de hora para estas firmas X.509 específicas.
Si Microsoft va a publicar una actualización no relacionada con la seguridad que corrige este problema, ¿por qué también va a publicar de nuevo los boletines?
La actualización corrige la mayoría de los casos en los que los certificados usan la comprobación de firmas Authenticode de Windows como, por ejemplo, cuando un archivo se ve o se ejecuta en Windows o Internet Explorer. No obstante, para garantizar que se corrigen todas las funciones de uso y validación de certificados, además, los paquetes y software afectados se actualizarán o volverán a publicar de nuevo para garantizar que la comprobación de CodeSign de terceros funciona correctamente.
¿Cuál es la repercusión de no instalar esta actualización?
Sin esta actualización, los archivos firmados incorrectamente, como, por ejemplo, las imágenes ejecutables, no se considerarán firmados correctamente después de la expiración del certificado CodeSign usado en el proceso de firma. Por ejemplo, Windows Update no instalará algunas actualizaciones de seguridad después de la fecha de caducidad si no se instala esta actualización. Otros efectos son, por ejemplo, que un programa de instalación de aplicaciones pueda mostrar un mensaje de error. También se pueden ver afectadas las soluciones de inclusión en listas blancas de aplicaciones de terceros.
¿Cuándo expiran los certificados de firma de código afectados?
Los certificados de CodeSign tienen distintas fechas de caducidad. La fecha de caducidad más temprana es noviembre de 2012.
¿Cómo se usan las extensiones de uso mejorado de clave (EKU) de marca de hora?
Según RFC3280, las extensiones de uso mejorado de clave (EKU) de marca de hora se usan para enlazar el hash de un objeto a una hora. Estas instrucciones firmadas muestran que existió una firma en un determinado momento. Se usan en situaciones de integridad de código en las que ha expirado el certificado de firma de código a fin de comprobar que la firma se realizó antes de la expiración del certificado. Para obtener más información acerca de las marcas de tiempo de certificado, vea Funcionamiento de los certificados y Formato de firma de ejecutable portátil Authenticode de Windows.
¿Qué es un certificado digital?
En la criptografía de clave pública, una de las claves, denominada la clave privada, se debe mantener en secreto. La otra clave, denominada la clave pública, está diseñada para compartirla con los demás usuarios. No obstante, debe existir una forma para que el propietario de la clave comunique a los demás usuarios a quién pertenece la clave. Los certificados digitales ofrecen una forma de realizar esta operación. Un certificado digital es una credencial electrónica que se usa para certificar las identidades en línea de personas, organizaciones y equipos. Los certificados digitales contienen una clave pública empaquetada con información sobre ella: de quién es, para qué se puede usar, cuándo expira, etc.
¿Este problema pone en peligro los certificados afectados?
No. Los certificados afectados no están en peligro en modo alguno y no tenemos constancia de ninguna repercusión en los clientes en estos momentos.
¿Qué es la función de comprobación de firma Authenticode de Windows?
La función de comprobación de firma Authenticode de Windows, o WinVerifyTrust, realiza una acción de comprobación de confianza en un objeto específico. La función pasa la consulta a un proveedor de confianza que admite el identificador de acción, si existe uno. La función WinVerifyTrust realiza dos acciones: comprobación de la firma en un objeto especificado y comprobación de confianza. Para obtener más información, vea Función WinVerifyTrust.
¿Qué repercusión tiene este problema en los desarrolladores?
Los desarrolladores pueden estar afectados por este problema si sus aplicaciones usan un redistribuible afectado. La aplicación de esta actualización en los sistemas que usan la aplicación del desarrollador solucionará el problema. Además, Microsoft publicará versiones actualizadas de los redistribuibles afectados. Los desarrolladores deberán incorporarlas en las actualizaciones futuras de sus aplicaciones.
Acciones recomendadas
Aplicar la actualización a las versiones compatibles de Microsoft Windows
La mayoría de los clientes tienen habilitada la actualización automática y no deben realizar ninguna acción porque la actualización KB2749655 se descargará e instalará automáticamente. Los clientes que no han habilitado la actualización automática deben buscar las actualizaciones e instalar esta actualización manualmente. Para obtener información sobre las opciones de configuración específicas de la actualización automática, vea el artículo 294871 de Microsoft Knowledge Base.
Para administradores e instalaciones empresariales, o usuarios finales que deseen instalar las actualizaciones manualmente, Microsoft recomienda que los clientes apliquen la actualización KB2749655 y cualquier actualización publicada de nuevo que corrija este problema inmediatamente, mediante el software de administración de actualizaciones o buscando actualizaciones con el servicio Microsoft Update. Para obtener más información acerca de cómo aplicar la actualización, vea el artículo 2749655 de Microsoft Knowledge Base.
Acciones adicionales recomendadas
- Proteja su PC
Seguimos recomendando a los clientes que apliquen los consejos de la sección Proteja su PC; a saber: habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. Para obtener más información, visite el Centro de seguridad y protección de Microsoft.
- Mantener actualizado el software de Microsoft
Los usuarios que ejecutan software de Microsoft deben aplicar las actualizaciones de seguridad más recientes para que sus equipos cuenten con el máximo nivel de protección posible. Si tiene dudas acerca de si su software está actualizado, visite Microsoft Update, explore las actualizaciones disponibles para el equipo e instale las actualizaciones importantes que se le ofrezcan. Si tiene habilitadas y configuradas las actualizaciones automáticas para los productos de Microsoft, las actualizaciones se entregan cuando se publican, pero debe asegurarse de que están instaladas.
Información adicional:
Comentarios
- Puede proporcionar comentarios si rellena el formulario de Ayuda y soporte técnico de Microsoft de contacto con el departamento de atención al cliente.
Soporte técnico
- Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico del departamento de soporte técnico de seguridad. Para obtener más información, vea Ayuda y soporte técnico de Microsoft.
- Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Para obtener más información, vea Soporte internacional.
- Microsoft TechNet Security
- proporciona información adicional acerca de la seguridad de los productos de Microsoft.
Renuncia
La información proporcionada en este documento informativo se suministra "tal cual", sin garantías de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.
Revisiones
- V1.0 (9 de octubre de 2012): Publicación del documento informativo.
- V1.1 (9 de octubre de 2012): se ha aclarado que las actualizaciones para Windows 8 y Windows Server 2012 asociadas con este documento informativo están incluidas en "Actualización acumulativa de disponibilidad general de cliente de Windows 8 y Windows Server 2012" (KB2756872). Se trata únicamente de un cambio informativo. Vea las preguntas más frecuentes del documento informativo para obtener más detalles.
- V1.2 (13 de noviembre de 2012): se agregó la actualización KB2687626, descrita en MS12-046, a la lista de nuevas publicaciones disponibles.
- V2.0 (11 de diciembre de 2012): se agregaron las actualizaciones KB2687627 y KB2687497 descritas en MS12-043, las actualizaciones KB2687501 y KB2687510 descritas en MS12-057, la actualización KB2687508 descrita en MS12-059 y la actualización KB2726929 descrita en MS12-060 a la lista de nuevas publicaciones disponibles.