Documento informativo sobre seguridad de Microsoft (2757760)
Una vulnerabilidad en Internet Explorer podría permitir la ejecución remota de código
Publicado: | Actualizado:
Versión: 1.2
Información general
Resumen ejecutivo
Microsoft está investigando los informes públicos de una vulnerabilidad en Internet Explorer 6, Internet Explorer 7, Internet Explorer 8 e Internet Explorer 9. Internet Explorer 10 no está afectado. Microsoft tiene constancia de ataques dirigidos que intentan aprovechar esta vulnerabilidad. Con la aplicación de la solución Microsoft Fix it "Evitar los daños en memoria a través de ExecCommand en Internet Explorer" se impide que se aproveche este problema. Vea la sección Acciones recomendadas de este documento informativo para obtener más información.
Existe una vulnerabilidad de ejecución remota de código en la manera en que Internet Explorer tiene acceso a un objeto en memoria que se ha eliminado o no se ha asignado correctamente. La vulnerabilidad puede dañar la memoria de manera tal que podría permitir a un atacante ejecutar código arbitrario en el contexto del usuario actual en Internet Explorer. Un atacante podría hospedar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web.
Una vez terminada esta investigación, Microsoft adoptará las medidas adecuadas para proteger a los clientes, que podrían incluir una solución mediante nuestro proceso mensual de publicación de actualizaciones de seguridad o una actualización de seguridad independiente, según las necesidades de los clientes.
Estamos trabajando activamente con los socios de nuestro programa Microsoft Active Protections Program (MAPP) para proporcionar información que pueden usar para ofrecer una mayor protección a los clientes. Además, colaboramos de forma activa con los socios para supervisar el panorama de amenaza y adoptar medidas contra los sitios malintencionados que intentan aprovechar esta vulnerabilidad.
Microsoft sigue recomendando a los clientes que sigan las indicaciones del Centro de seguridad y protección de Microsoft en cuanto a la habilitación de un firewall, la aplicación de todas las actualizaciones de software y la instalación de software antivirus y antispyware.
Factores atenuantes:
- De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad.
- De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita los scripts y los controles ActiveX, contribuye a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en web.
- Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
- En el caso de un ataque basado en web, el intruso podría hospedar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
Recomendación. Vea la sección Acciones recomendadas de este documento informativo para obtener más información.
Detalles del documento informativo
Referencias del problema
Para obtener más información acerca de este problema, consulte las siguientes referencias:
| Referencias | Identificación |
|---|---|
| Referencia de CVE | CVE-2012-4969 |
Software afectado y no afectado
Este documento informativo trata sobre el software que se indica a continuación.
Software afectado
| Sistema operativo | Componente |
|---|---|
| Internet Explorer 6 | |
| Windows XP Service Pack 3 | Internet Explorer 6 |
| Windows XP Professional x64 Edition Service Pack 2 | Internet Explorer 6 |
| Windows Server 2003 Service Pack 2 | Internet Explorer 6 |
| Windows Server 2003 x64 Edition Service Pack 2 | Internet Explorer 6 |
| Windows Server 2003 con SP2 para sistemas con Itanium | Internet Explorer 6 |
| Internet Explorer 7 | |
| Windows XP Service Pack 3 | Internet Explorer 7 |
| Windows XP Professional x64 Edition Service Pack 2 | Internet Explorer 7 |
| Windows Server 2003 Service Pack 2 | Internet Explorer 7 |
| Windows Server 2003 x64 Edition Service Pack 2 | Internet Explorer 7 |
| Windows Server 2003 con SP2 para sistemas con Itanium | Internet Explorer 7 |
| Windows Vista Service Pack 2 | Internet Explorer 7 |
| Windows Vista x64 Edition Service Pack 2 | Internet Explorer 7 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Internet Explorer 7 |
| Windows Server 2008 para sistemas x64 Service Pack 2 | Internet Explorer 7 |
| Windows Server 2008 para sistemas con Itanium Service Pack 2 | Internet Explorer 7 |
| Internet Explorer 8 | |
| Windows XP Service Pack 3 | Internet Explorer 8 |
| Windows XP Professional x64 Edition Service Pack 2 | Internet Explorer 8 |
| Windows Server 2003 Service Pack 2 | Internet Explorer 8 |
| Windows Server 2003 x64 Edition Service Pack 2 | Internet Explorer 8 |
| Windows Vista Service Pack 2 | Internet Explorer 8 |
| Windows Vista x64 Edition Service Pack 2 | Internet Explorer 8 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Internet Explorer 8 |
| Windows Server 2008 para sistemas x64 Service Pack 2 | Internet Explorer 8 |
| Windows 7 para sistemas de 32 bits | Internet Explorer 8 |
| Windows 7 para sistemas de 32 bits Service Pack 1 | Internet Explorer 8 |
| Windows 7 para sistemas x64 | Internet Explorer 8 |
| Windows 7 para sistemas x64 Service Pack 1 | Internet Explorer 8 |
| Windows Server 2008 R2 para sistemas x64 | Internet Explorer 8 |
| Windows Server 2008 R2 para sistemas x64 Service Pack 1 | Internet Explorer 8 |
| Windows Server 2008 R2 para sistemas con Itanium | Internet Explorer 8 |
| Windows Server 2008 R2 para sistemas con Itanium Service Pack 1 | Internet Explorer 8 |
| Internet Explorer 9 | |
| Windows Vista Service Pack 2 | Internet Explorer 9 |
| Windows Vista x64 Edition Service Pack 2 | Internet Explorer 9 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 | Internet Explorer 9 |
| Windows Server 2008 para sistemas x64 Service Pack 2 | Internet Explorer 9 |
| Windows 7 para sistemas de 32 bits | Internet Explorer 9 |
| Windows 7 para sistemas de 32 bits Service Pack 1 | Internet Explorer 9 |
| Windows 7 para sistemas x64 | Internet Explorer 9 |
| Windows 7 para sistemas x64 Service Pack 1 | Internet Explorer 9 |
| Windows Server 2008 R2 para sistemas x64 | Internet Explorer 9 |
| Windows Server 2008 R2 para sistemas x64 Service Pack 1 | Internet Explorer 9 |
Software no afectado
| Sistema operativo | Componente |
|---|---|
| Internet Explorer 10 | |
| Windows 8 para sistemas de 32 bits | Internet Explorer 10 |
| Windows 8 para sistemas de 64 bits | Internet Explorer 10 |
| Windows Server 2012 | Internet Explorer 10 |
| Instalación de Server Core | |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación de Server Core) | No aplicable |
| Windows Server 2008 para sistemas x64 Service Pack 2 (instalación de Server Core) | No aplicable |
| Windows Server 2008 R2 para sistemas x64 (instalación de Server Core) | No aplicable |
| Windows Server 2008 R2 para sistemas x64 Service Pack 1 (instalación de Server Core) | No aplicable |
| Windows Server 2012 (instalación de Server Core) | No aplicable |
Preguntas frecuentes
¿Por qué se ha revisado este boletín el 19 de septiembre de 2012?
Microsoft ha revisado este documento informativo para anunciar la disponibilidad de una solución Microsoft Fix it, "Evitar los daños en memoria a través de ExecCommand en Internet Explorer", que impide que se aproveche este problema. Vea el artículo 2757760 de Microsoft Knowledge Base para usar la solución Microsoft Fix it automática.
¿Cuál es el alcance de este documento informativo?
Microsoft tiene constancia de una nueva vulnerabilidad que afecta a Internet Explorer 6, Internet Explorer 7, Internet Explorer 8 e Internet Explorer 9.
¿Se trata de una vulnerabilidad de la seguridad que requiere la publicación de una actualización de seguridad por parte de Microsoft?
Al completar nuestra investigación, Microsoft adoptará las medidas adecuadas para proteger a los clientes, que podrían incluir una solución mediante nuestro proceso mensual de publicación de actualizaciones de seguridad o una actualización de seguridad independiente, según las necesidades de los clientes.
¿Para qué puede usar un atacante esta vulnerabilidad?
Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.
¿Cómo podría aprovechar un atacante la vulnerabilidad?
Un atacante podría hospedar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente incitándoles a que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.
Estoy ejecutando Internet Explorer para Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. ¿Soluciona esto la vulnerabilidad?
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer.
¿Qué es Enhanced Mitigation Experience Toolkit (EMET) versión 3.0?
Enhanced Mitigation Experience Toolkit (EMET) es una utilidad que ayuda a prevenir que se aprovechen las vulnerabilidades en el software. EMET lo logra mediante el uso de tecnologías de factores atenuantes de seguridad. Estas tecnologías actúan como protecciones y obstáculos especiales que un atacante debe superar para aprovechar las vulnerabilidades del software. Estas tecnologías de factores atenuantes de seguridad no garantizan que no se puedan aprovechar las vulnerabilidades, pero dificultan lo máximo posible su aprovechamiento. En muchos casos, puede que nunca se desarrolle un código completamente funcional que aproveche la vulnerabilidad que omita EMET. Para obtener más información, vea el artículo 2458544 de Microsoft Knowledge Base.
¿EMET contribuye a atenuar los ataques que intentan aprovechar esta vulnerabilidad?
Sí. Enhanced Mitigation Experience Toolkit (EMET) contribuye a atenuar que se aproveche esta vulnerabilidad al agregar capas de protección adicionales que dificultan el aprovechamiento de la vulnerabilidad. EMET es una utilidad que contribuye a prevenir que se aprovechen las vulnerabilidades en el software por la ejecución de código, mediante la aplicación de las tecnologías de atenuación de seguridad más recientes. En este momento, EMET se ofrece con compatibilidad limitada y está disponible únicamente en inglés. Para obtener más información, vea el artículo 2458544 de Microsoft Knowledge Base.
¿Qué es la selección aleatoria del diseño del espacio de direcciones (ASLR)?
Los sistemas que implementan la selección aleatoria del diseño del espacio de direcciones (ASLR) reubican los puntos de entrada de función predecibles normalmente de un modo pseudoaleatorio en la memoria. Windows ASLR cambia la base de las DLL y los ejecutables del sistema a una de las 256 ubicaciones aleatorias en memoria. Por lo tanto, los atacantes que usen direcciones codificadas de forma rígida tienen una probabilidad de una entre 256 para "acertar". Para obtener más información acerca de ASLR, consulte el artículo de la revista TechNet, Dentro del kernel de Windows Vista: parte 3.
Acciones recomendadas
Aplicar soluciones provisionales
Las soluciones provisionales hacen referencia a un cambio de opción o configuración que no corrige el problema subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de que esté disponible una actualización de seguridad. Vea la sección siguiente, Soluciones provisionales, para obtener más información.
Soluciones provisionales
- Aplicar la solución Microsoft Fix it "Evitar los daños en memoria a través de ExecCommand en Internet Explorer", que impide que se aproveche este problema
Vea el artículo 2757760 de Microsoft Knowledge Base para usar la solución Microsoft Fix it automática para habilitar o deshabilitar esta solución provisional.
- Implementar Enhanced Mitigation Experience Toolkit
Enhanced Mitigation Experience Toolkit (EMET) es una utilidad que ayuda a prevenir que se aprovechen las vulnerabilidades en el software mediante la aplicación de factores atenuantes incorporados, como, por ejemplo, DEP, para las aplicaciones configuradas en EMET.
En este momento, EMET se ofrece con compatibilidad limitada y está disponible únicamente en inglés. Para obtener más información, vea el artículo 2458544 de Microsoft Knowledge Base.
Para obtener más información acerca de la configuración de EMET, vea la guía del usuario de EMET:
- En los sistemas de 32 bits la guía del usuario de EMET se encuentra en C:\Archivos de programa\EMET\EMET User's Guide.Pdf
- En los sistemas de 64 bits la guía del usuario de EMET se encuentra en C:\Archivos de programa (x86)\EMET\EMET User's Guide.Pdf
Configurar EMET para Internet Explorer desde la interfaz de usuario de EMET
Para agregar iexplore.exe a la lista de aplicaciones mediante EMET, realice los pasos siguientes:
- Haga clic en Inicio, Todos los programas, Enhanced Mitigation Experience Toolkit y EMET 3.0.
- Haga clic en Sí en la solicitud de UAC y haga clic en Configure Apps (Configurar aplicaciones) y, a continuación, seleccione Add (Agregar). Busque la aplicación que se configurará en EMET.
- En las versiones de 64 bits de Microsoft Windows, las rutas de acceso a las instalaciones de 32 bits y x64 de Internet Explorer son:
C:\Archivos de programa (x86)\Internet Explorer\iexplore.exeC:\Archivos de programa\Internet Explorer\iexplore.exeEn las versiones de 32 bits de Microsoft Windows, la ruta de acceso a Internet Explorer esC:\Archivos de programa\Internet Explorer\iexplore.exe - Haga clic en Aceptar y salga de EMET.
Configurar EMET para Internet Explorer desde una línea de comandos
- Habilitar Internet Explorer para todos los factores atenuantes de EMET 3.0
- En los sistemas de 64 bits, para las instalaciones de 32 bits de IE ejecute lo siguiente desde un símbolo del sistema con privilegios elevados:
"c:\Archivos de programa (x86)\EMET\EMET_Conf.exe" --set "c:\Archivos de programa (x86)\Internet Explorer\iexplore.exe"Y en los sistemas de 64 bits, para las instalaciones de x64 de IE ejecute lo siguiente desde un símbolo del sistema con privilegios elevados:"c:\Archivos de programa (x86)\EMET\EMET_Conf.exe"--set "c:\Archivos de programa\Internet Explorer\iexplore.exe" - En los sistemas de 32 bits, para las instalaciones de 32 bits de IE ejecute lo siguiente desde un símbolo del sistema con privilegios elevados:
"c:\Archivos de programa\EMET\EMET_Conf.exe"--set "c:\Archivos de programa\Internet Explorer\iexplore.exe" - Si ha completado esta operación correctamente, se muestra el siguiente mensaje:
"Thechangesyouhavemademayrequirerestartingoneormoreapplications" (Los cambios que ha realizado pueden requerir el reinicio de una o varias aplicaciones) - Si la aplicación ya se ha agregado a EMET, se muestra el mensaje siguiente:
Error: "c:\Archivos de programa (x86)\Internet Explorer\iexplore.exe"conflictswithexistingentryfor"C:\Archivos de programa (x86)\Internet Explorer\iexplore.exe" (Error: "c:\Archivos de programa (x86)\Internet Explorer\iexplore.exe" está en conflicto con la entrada existente para "C:\Archivos de programa (x86)\Internet Explorer\iexplore.exe" - Para obtener más información acerca de la ejecución de EMET_Conf.exe, vea la ayuda de la línea de comandos ejecutando lo siguiente desde un símbolo del sistema.En sistemas de 32 bits:
"C:\Archivos de programa\EMET\EMET_Conf.exe" /?En sistemas de 64 bits:"C:\Archivos de programa (x86)\EMET\EMET_Conf.exe" /?
Configurar EMET para Internet Explorer mediante directiva de grupo
EMET se puede configurar mediante directiva de grupo. Para obtener información acerca de cómo configurar EMET mediante directiva de grupo, vea la guía del usuario de EMET:
- En los sistemas de 32 bits la guía del usuario de EMET se encuentra en C:\Archivos de programa\EMET\EMET User's Guide.Pdf
- En los sistemas de 64 bits la guía del usuario de EMET se encuentra en C:\Archivos de programa (x86)\EMET\EMET User's Guide.Pdf
Nota Para obtener más información acerca de la directiva de grupo, vea Colección de directivas de grupo.
- Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas
Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.
Para aumentar el nivel de seguridad en Internet Explorer, realice los siguientes pasos:
- En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
- En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en Internet.
- En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.
- Haga clic en Intranet Local.
- En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.
- Haga clic en Aceptar para confirmar los cambios y volver a Internet Explorer.
Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.
Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.
Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet usan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".
Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer
Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.
Para ello, siga estas indicaciones:
- En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
- En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
- Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
- En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
- Repita estos pasos para cada sitio que desee agregar a la zona.
- Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.
Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.
- Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local
Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estas indicaciones:
- En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
- Haga clic en la ficha Seguridad.
- Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
- En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos o Desactivar y, a continuación, haga clic en Aceptar.
- Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
- En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos o Desactivar y, a continuación, haga clic en Aceptar.
- Haga clic en Aceptar dos veces para volver a Internet Explorer.
Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.
Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet usan scripts ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".
Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer
Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.
Para ello, siga estas indicaciones:
- En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
- En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
- Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
- En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
- Repita estos pasos para cada sitio que desee agregar a la zona.
- Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.
Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.
Acciones adicionales recomendadas
- Mantenga actualizado el software de terceros
Los intentos actuales de aprovechar esta vulnerabilidad en Internet Explorer usan software de terceros, incluido Java de Oracle, para llevar a cabo el ataque de forma confiable. Revise las indicaciones de Oracle con respecto a Java:
¿Dónde puedo obtener la última versión de Java 6?
¿Qué es Actualización de Java?
¿Por qué debo desinstalar las versiones anteriores de Java de mi sistema?
- Proteja su PC
Seguimos recomendando a los clientes que apliquen los consejos de la sección Proteja su PC; a saber: habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. Para obtener más información, visite el Centro de seguridad y protección de Microsoft.
- Mantener actualizado el software de Microsoft
Los usuarios que ejecutan software de Microsoft deben aplicar las actualizaciones de seguridad más recientes para que sus equipos cuenten con el máximo nivel de protección posible. Si tiene dudas acerca de si su software está actualizado, visite Microsoft Update, explore las actualizaciones disponibles para el equipo e instale las actualizaciones importantes que se le ofrezcan. Si tiene habilitadas y configuradas las actualizaciones automáticas para los productos de Microsoft, las actualizaciones se entregan cuando se publican, pero debe asegurarse de que están instaladas.
Información adicional:
Microsoft Active Protections Program (MAPP)
Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. De este modo, los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como, por ejemplo, antivirus, sistemas de detección de intrusiones de red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas en los proveedores de software de seguridad, visite los sitios web de protecciones activas que proporcionan los asociados, enumeradas en Asociados de Microsoft Active Protections Program (MAPP).
Comentarios
- Puede proporcionar comentarios si rellena el formulario de Ayuda y soporte técnico de Microsoft de contacto con el departamento de atención al cliente.
Soporte técnico
- Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico del departamento de soporte técnico de seguridad. Para obtener más información, vea Ayuda y soporte técnico de Microsoft.
- Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Para obtener más información, vea Soporte internacional.
- Microsoft TechNet Security
- proporciona información adicional acerca de la seguridad de los productos de Microsoft.
Renuncia
La información proporcionada en este documento informativo se suministra "tal cual", sin garantías de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.
Revisiones
- V1.0 (17 de septiembre de 2012): Publicación del documento informativo.
- V1.1 (18 de septiembre de 2012): Se ha asignado el número de vulnerabilidad y exposición común CVE-2012-4969 al problema. También se han corregido las instrucciones en la solución alternativa de EMET.
- V1.2 (19 de septiembre de 2012): Se ha agregado un vínculo a la solución Microsoft Fix it "Evitar los daños en memoria a través de ExecCommand en Internet Explorer", que impide que se aproveche este problema.