Boletín de seguridad de Microsoft MS12-077 - Crítica

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En un escenario de ataque web, un atacante podría alojar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente incitándoles a que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.
• Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita los scripts y los controles ActiveX, contribuye a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en web.
• De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, realice los siguientes pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.
  4. Haga clic en Intranet Local.
  5. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.
  6. Haga clic en Aceptar para confirmar los cambios y volver a Internet Explorer.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet usan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet usan scripts ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de ejecución remota de código en el contexto del usuario actual.

¿Cuál es la causa de esta vulnerabilidad? 
Cuando Internet Explorer intenta obtener acceso a un objeto en memoria que se ha eliminado, puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría hospedar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente incitándoles a que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o a que abran datos adjuntos enviados por correo electrónico.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas en los que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, están expuestos a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al modificar la manera en que Internet Explorer trata los objetos en memoria.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En un escenario de ataque web, un atacante podría alojar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente incitándoles a que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.
• Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita los scripts y los controles ActiveX, contribuye a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en web.
• De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, realice los siguientes pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.
  4. Haga clic en Intranet Local.
  5. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.
  6. Haga clic en Aceptar para confirmar los cambios y volver a Internet Explorer.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet usan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet usan scripts ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de ejecución remota de código en el contexto del usuario actual.

¿Cuál es la causa de esta vulnerabilidad? 
Cuando Internet Explorer intenta obtener acceso a un objeto en memoria que se ha eliminado, puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría hospedar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente incitándoles a que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o a que abran datos adjuntos enviados por correo electrónico.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas en los que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, están expuestos a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al modificar la manera en que Internet Explorer trata los objetos en memoria.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En un escenario de ataque web, un atacante podría alojar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente incitándoles a que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.
• Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita los scripts y los controles ActiveX, contribuye a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en web.
• De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, realice los siguientes pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.
  4. Haga clic en Intranet Local.
  5. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.
  6. Haga clic en Aceptar para confirmar los cambios y volver a Internet Explorer.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet usan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet usan scripts ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de ejecución remota de código en el contexto del usuario actual.

¿Cuál es la causa de esta vulnerabilidad? 
Cuando Internet Explorer intenta obtener acceso a un objeto que no se ha inicializado o se ha eliminado, se puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría hospedar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. Un atacante también podría insertar un control ActiveX marcado como "seguro para inicialización" en una aplicación o un documento de Microsoft Office que aloje el motor de representación de IE. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente incitándoles a que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Para que se produzca una acción malintencionada, esta vulnerabilidad requiere que el usuario haya iniciado una sesión y visite un sitio web. Por lo tanto, cualquier sistema en el que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, está expuesto a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al modificar la manera en que Internet Explorer trata los objetos en memoria.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Nota La actualización de las versiones compatibles de Windows XP Professional x64 Edition también se aplica a las versiones compatibles de Windows Server 2003 x64 Edition.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Nota La actualización de las versiones compatibles de Windows Server 2003 x64 Edition también se aplica a las versiones compatibles de Windows XP Professional x64 Edition.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software.