Launch Printer Friendly Page Security TechCenter > Boletines de seguridad > Boletín de seguridad de Microsoft MS12-056

Boletín de seguridad de Microsoft MS12-056 - Importante

Una vulnerabilidad en los motores de VBScript y JScript podría permitir la ejecución remota de código (2706045)

Publicado: | Actualizado:

Versión: 1.1

Información general

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en los motores de scripting de JScript y VBScript en las versiones de 64 bits de Microsoft Windows. Esta vulnerabilidad podría permitir la ejecución remota de código si un usuario visita un sitio web especialmente diseñado. El atacante no podría obligar a los usuarios a visitar el sitio web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.

Esta actualización de seguridad se considera importante para JScript 5.8 y VBScript 5.8 en clientes de Windows de 64 bits. Esta actualización de seguridad también se considera baja para JScript 5.8 y VBScript 5.8 en clientes Windows de 64 bits. Para obtener más información, consulte la subsección Software afectado y no afectado, en esta sección.

La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que JScript y VBScript tratan los objetos en memoria. Para obtener más información acerca de la vulnerabilidad, consulte la subsección Preguntas más frecuentes (P+F) de la entrada de vulnerabilidad específica en la sección siguiente, Información sobre la vulnerabilidad.

Recomendación. La mayoría de los clientes tiene habilitada la actualización automática y no debe realizar ninguna acción porque esta actualización de seguridad se descargará e instalará automáticamente. Los clientes que no han habilitado la actualización automática deben buscar las actualizaciones e instalar esta actualización manualmente. Para obtener información sobre las opciones de configuración específicas de la actualización automática, vea el artículo 294871 de Microsoft Knowledge Base.

Para administradores e instalaciones empresariales, o usuarios finales que deseen instalar esta actualización de seguridad manualmente, Microsoft recomienda que los clientes apliquen la actualización a la primera oportunidad con el software de administración de actualizaciones o busquen las actualizaciones con el servicio Microsoft Update.

Vea también la sección Herramientas y consejos para la detección e implementación, más adelante en este boletín.

Problemas conocidos. Ninguna

Software afectado y no afectado

El software siguiente se ha probado para determinar las versiones o ediciones que están afectadas. Otras versiones o ediciones han llegado al final de su ciclo de vida o no están afectadas. Para determinar el ciclo de vida del soporte técnico de su versión o edición de software, vea Ciclo de vida del soporte técnico de Microsoft.

Software afectado

Sistema operativoComponenteRepercusión de seguridad máximaClasificación de gravedad acumuladaActualizaciones reemplazadas
Windows XP Professional x64 Edition Service Pack 2 JScript 5.8 y VBScript 5.8
(KB2706045)
Ejecución remota de códigoImportanteKB2510531 en MS11-031 se reemplaza por KB2706045
Windows Server 2003 x64 Edition Service Pack 2 JScript 5.8 y VBScript 5.8
(KB2706045)
Ejecución remota de códigoBajaKB2510531 en MS11-031 se reemplaza por KB2706045
Windows Vista x64 Edition Service Pack 2 JScript 5.8 y VBScript 5.8
(KB2706045)
Ejecución remota de códigoImportanteKB2510531 en MS11-031 se reemplaza por KB2706045
Windows Server 2008 para sistemas x64 Service Pack 2 JScript 5.8 y VBScript 5.8
(KB2706045)
Ejecución remota de códigoBajaKB2510531 en MS11-031 se reemplaza por KB2706045
Windows 7 para sistemas x64 JScript 5.8 y VBScript 5.8
(KB2706045)
Ejecución remota de códigoImportanteKB2510531 en MS11-031 se reemplaza por KB2706045
Windows 7 para sistemas x64 Service Pack 1 JScript 5.8 y VBScript 5.8
(KB2706045)
Ejecución remota de códigoImportanteKB2510531 en MS11-031 se reemplaza por KB2706045
Windows Server 2008 R2 para sistemas x64 JScript 5.8 y VBScript 5.8
(KB2706045)
Ejecución remota de códigoBajaKB2510531 en MS11-031 se reemplaza por KB2706045
Windows Server 2008 R2 para sistemas x64 Service Pack 1 JScript 5.8 y VBScript 5.8
(KB2706045)
Ejecución remota de códigoBajaKB2510531 en MS11-031 se reemplaza por KB2706045
Windows Server 2008 R2 para sistemas con Itanium JScript 5.8 y VBScript 5.8
(KB2706045)
Ejecución remota de códigoBajaKB2510531 en MS11-031 se reemplaza por KB2706045
Windows Server 2008 R2 para sistemas con Itanium Service Pack 1 JScript 5.8 y VBScript 5.8
(KB2706045)
Ejecución remota de códigoBajaKB2510531 en MS11-031 se reemplaza por KB2706045

Software no afectado

Sistema operativoComponente
Windows XP Service Pack 3 JScript 5.7 y VBScript 5.7
Jscript 5.8 y VBScript 5.8
Windows XP Professional x64 Edition Service Pack 2JScript 5.6 y VBScript 5.6
JScript 5.7 y VBScript 5.7
Windows Server 2003 Service Pack 2 JScript 5.6 y VBScript 5.6
JScript 5.7 y VBScript 5.7
JScript 5.8 y VBScript 5.8
Windows Server 2003 x64 Edition Service Pack 2 JScript 5.6 y VBScript 5.6
JScript 5.7 y VBScript 5.7
Windows Server 2003 con SP2 para sistemas con Itanium JScript 5.6 y VBScript 5.6
JScript 5.7 y VBScript 5.7
Windows Vista Service Pack 2 JScript 5.7 y VBScript 5.7
Jscript 5.8 y VBScript 5.8
Windows Vista x64 Edition Service Pack 2 JScript 5.7 y VBScript 5.7
Windows Server 2008 para sistemas de 32 bits Service Pack 2 JScript 5.7 y VBScript 5.7
JScript 5.8 y VBScript 5.8
Windows Server 2008 para sistemas x64 Service Pack 2 JScript 5.7 y VBScript 5.7
Windows Server 2008 para sistemas con Itanium Service Pack 2 JScript 5.7 y VBScript 5.7
Windows 7 para sistemas de 32 bitsJScript 5.8 y VBScript 5.8
Windows 7 para sistemas de 32 bits Service Pack 1 JScript 5.8 y VBScript 5.8
Opción de instalación Server Core
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación Server Core)No aplicable
Windows Server 2008 para sistemas x64 Service Pack 2 (instalación Server Core)No aplicable
Windows Server 2008 R2 para sistemas x64 (instalación Server Core)No aplicable
Windows Server 2008 R2 para sistemas x64 Service Pack 1 (instalación Server Core)No aplicable

Preguntas más frecuentes (P+F) relacionadas con esta actualización de seguridad

Información sobre la vulnerabilidad

Gravedad e identificadores de vulnerabilidad

Vulnerabilidad de ejecución remota de código en desbordamiento de enteros en JavaScript (CVE-2012-2523)

Información sobre la actualización

Herramientas y consejos para la detección e implementación

Implementación de la actualización de seguridad

Información adicional:

Agradecimientos

Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

  • Cris Neckar, Chrome Security Team de Google, por informar de la vulnerabilidad de ejecución remota de código en desbordamiento de enteros en JavaScript (CVE-2012-2523)

Microsoft Active Protections Program (MAPP)

Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. De este modo, los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como, por ejemplo, antivirus, sistemas de detección de intrusiones de red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas en los proveedores de software de seguridad, vaya a los sitios web de protecciones activas que proporcionan los asociados, enumeradas en Asociados de Microsoft Active Protections Program (MAPP).

Soporte técnico

Cómo obtener ayuda y soporte técnico para esta actualización de seguridad

Renuncia

La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantías de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones

  • V1.0 (14 de agosto de 2012): Publicación del boletín.
  • V1.1 (9 de julio de 2013): se ha revisado el boletín para anunciar un cambio de detección en los paquetes de Windows Vista para la actualización 2706045 para corregir un problema de nueva oferta de Windows Update. Se trata únicamente de un cambio de detección. Los clientes que ya han actualizado correctamente sus sistemas no necesitan realizar ninguna acción.