Boletín de seguridad de Microsoft MS07-054 - Importante

Una vulnerabilidad en MSN Messenger y Windows Live Messenger podría permitir la ejecución remota de código (942099)

Publicado: martes, 11 de septiembre de 2007 | Actualizado: miércoles, 12 de septiembre de 2007

Versión: 1.1

Información general

Resumen ejecutivo

Esta actualización de seguridad importante resuelve una vulnerabilidad que se ha divulgado públicamente en MSN Messenger y Windows Live Messenger. La vulnerabilidad podría permitir la ejecución remota de código cuando un usuario acepta una invitación de cámara web o de videocharla de un atacante. Un atacante que aprovechara con éxito esta vulnerabilidad podría obtener el control completo del sistema afectado. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Los clientes que usan MSN Messenger 7.0.0820 o Windows Live Messenger 8.1 no están afectados por esta vulnerabilidad. Para obtener más información, consulte la subsección Software afectado y no afectado, en esta sección.

Para obtener más información acerca de la vulnerabilidad, consulte la subsección Preguntas más frecuentes (P+F) de la entrada de vulnerabilidad específica en la sección siguiente, Información sobre la vulnerabilidad.

Recomendación. Microsoft recomienda que los clientes que usen MSN Messenger 6.2 y MSN Messenger 7.0 en Microsoft Windows 2000 Service Pack 4 actualicen a MSN Messenger 7.0.0820 lo antes posible. Los clientes de otras plataformas compatibles de Windows, con MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 o Windows Viven Messenger 8.0, deben actualizar a Windows Vive Messenger 8.1 lo antes posible.

Problemas conocidos. Ninguna

Software afectado y no afectado

El software siguiente se ha probado para determinar las versiones o ediciones que están afectadas. Otras versiones o ediciones han llegado al final de su ciclo de vida o no están afectadas.

Software afectado

Sistema operativo	Software	Repercusión de seguridad máxima	Clasificación de gravedad acumulada	Boletines reemplazados por esta actualización
Microsoft Windows 2000 Service Pack 4	MSN Messenger 6.2 MSN Messenger 7.0	Ejecución remota de código	Importante	Ninguna
Windows XP Service Pack 2	MSN Messenger 6.2 MSN Messenger 7.0 MSN Messenger 7.5 Windows Live Messenger 8.0	Ejecución remota de código	Importante	Ninguna
Windows XP Professional x64 Edition	MSN Messenger 6.2 MSN Messenger 7.0 MSN Messenger 7.5 Windows Live Messenger 8.0	Ejecución remota de código	Importante	Ninguna
Windows XP Professional x64 Edition Service Pack 2	MSN Messenger 6.2 MSN Messenger 7.0 MSN Messenger 7.5 Windows Live Messenger 8.0	Ejecución remota de código	Importante	Ninguna
Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2	MSN Messenger 6.2 MSN Messenger 7.0 MSN Messenger 7.5 Windows Live Messenger 8.0	Ejecución remota de código	Importante	Ninguna
Windows Server 2003 x64 Edition	MSN Messenger 6.2 MSN Messenger 7.0 MSN Messenger 7.5 Windows Live Messenger 8.0	Ejecución remota de código	Importante	Ninguna
Windows Server 2003 x64 Edition Service Pack 2	MSN Messenger 6.2 MSN Messenger 7.0 MSN Messenger 7.5 Windows Live Messenger 8.0	Ejecución remota de código	Importante	Ninguna
Windows Vista	MSN Messenger 6.2 MSN Messenger 7.0 MSN Messenger 7.5 Windows Live Messenger 8.0	Ejecución remota de código	Importante	Ninguna
Windows Vista x64 Edition	MSN Messenger 6.2 MSN Messenger 7.0 MSN Messenger 7.5 Windows Live Messenger 8.0	Ejecución remota de código	Importante	Ninguna

Software no afectado

Sistema operativo	Software
Microsoft Windows 2000 Service Pack 4	MSN Messenger 7.0.0820
Windows XP Service Pack 2	Windows Live Messenger 8.1
Windows XP Professional x64 Edition	Windows Live Messenger 8.1
Windows XP Professional x64 Edition Service Pack 2	Windows Live Messenger 8.1
Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2	Windows Live Messenger 8.1
Windows Server 2003 x64 Edition	Windows Live Messenger 8.1
Windows Server 2003 x64 Edition Service Pack 2	Windows Live Messenger 8.1
Windows Vista	Windows Live Messenger 8.1
Windows Vista x64 Edition	Windows Live Messenger 8.1

Preguntas más frecuentes (P+F) relacionadas con esta actualización de seguridad

¿Cómo se ofrecerá esta actualización?
Tras iniciar sesión en el servicio de MSN Messenger, el mecanismo de implementación de cliente del servicio de MSN Messenger pedirá a los usuarios de MSN Messenger 6.2 y MSN Messenger 7.0 en ediciones compatibles de sistemas operativos Windows anteriores a Windows XP que acepten la actualización a MSN Messenger 7.0.0820.

Además, los usuarios que deseen descargar la actualización a MSN Messenger 7.0.0820 inmediatamente pueden hacerlo si utilizan el vínculo Centro de descarga que se proporciona en la tabla Software afectado. Tenga en cuenta que esto sólo se aplica a usuarios de MSN Messenger 6.2 y MSN Messenger 7.0 en ediciones compatibles de Microsoft Windows 2000 Service Pack 4.

Tras iniciar sesión en el servicio de MSN Messenger o Windows Live Messenger, el mecanismo de implementación de cliente en el servicio de MSN Messenger o Windows Live Messenger pedirá a los usuarios de MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 y Windows Live Messenger 8.0 en ediciones compatibles de Windows XP y posteriores que acepten la actualización a Windows Live Messenger 8.1.

Además, los usuarios que deseen descargar la actualización a Windows Live Messenger 8.1 inmediatamente pueden hacerlo si utilizan el vínculo Centro de descarga que se proporciona en la tabla Software afectado. Tenga en cuenta que esto sólo se aplica a usuarios de MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 y Windows Live Messenger 8.0 en ediciones compatibles de Microsoft Windows 2000 Service Pack 4.

Si no se actualizan, los usuarios de versiones vulnerables de los clientes de MSN Messenger o Windows Live Messenger no podrán conectarse al servicio de MSN Messenger o Windows Live Messenger.

¿Cuál es el motivo de la publicación de esta actualización por parte de Microsoft a través del servicio de MSN Messenger o Windows Live Messenger y como descarga?
Microsoft publica actualmente actualizaciones del cliente de MSN Messenger o Windows Live Messenger mediante la red de MSN Messenger o Windows Live Messenger porque estos servicios en línea disponen de un mecanismo de implementación de cliente propio. No obstante, también hay disponibles vínculos de Centro de descarga para los clientes específicos de MSN Messenger o Windows Live Messenger que se ejecuten en las plataformas indicadas en la tabla Software afectado porque los usuarios pueden desear descargar las actualizaciones inmediatamente.

Si se trata de una actualización, ¿cómo puedo detectar si tengo una versión vulnerable de MSN Messenger o Windows Live Messenger?
Cuando intenta iniciar sesión en el servicio de MSN Messenger o Windows Live Messenger, el mecanismo de actualización de cliente determinará automáticamente la versión y plataforma de cliente actuales y, si es necesario, recomendará la actualización adecuada. Además, puede comprobar la versión del cliente MSN Messenger o Windows Live Messenger si hace clic en Ayuda y, a continuación, en Acerca de.

¿Qué sucede si no actualizo a MSN Messenger 7.0.0820 o Windows Live Messenger 8.1?
Si no actualiza a una versión no afectada del cliente de MSN Messenger o Windows Live Messenger, según la plataforma, se le pedirá que se actualice cada vez que intente iniciar sesión. Si no acepta la actualización, no tendrá acceso al servicio de MSN Messenger o Windows Live Messenger. Consulte en la tabla Software no afectado de esta sección los detalles sobre las plataformas y versiones de actualización de los clientes de MSN Messenger y Windows Live Messenger.

¿Están afectadas por esta vulnerabilidad otras aplicaciones de colaboración en tiempo real de Microsoft como Windows Messenger u Office Communicator?
No. Otras aplicaciones de mensajería no están afectadas ya que no contienen el componente vulnerable.

Información sobre la vulnerabilidad

Gravedad e identificadores de vulnerabilidad

Gravedad de la vulnerabilidad y repercusión de seguridad máxima del software afectado
Software afectado	Vulnerabilidad de ejecución remota de código en sesión de cámara web o de videocharla de MSN Messenger (CVE-2007-2931)	Clasificación de gravedad acumulada
MSN Messenger 6.2 MSN Messenger 7.0 MSN Messenger 7.5 Windows Live Messenger 8.0	Importante Ejecución remota de código	Importante

Vulnerabilidad de ejecución remota de código en sesión de cámara web o de videocharla de MSN Messenger (CVE-2007-2931)

Existe una vulnerabilidad de ejecución remota de código en MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 y Windows Live Messenger 8.0. La vulnerabilidad podría permitir la ejecución remota de código cuando un usuario acepta una invitación de cámara web o de videocharla de un atacante. Un atacante que aprovechara con éxito esta vulnerabilidad podría obtener el control completo del sistema afectado. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Para ver esta vulnerabilidad como una entrada estándar en la lista de vulnerabilidades y exposiciones comunes, consulte CVE-2007-2931.

Factores atenuantes para la vulnerabilidad de ejecución remota de código en sesión de cámara web o de videocharla de MSN Messenger (CVE-2007-2931)

Soluciones provisionales para la vulnerabilidad de ejecución remota de código en sesión de cámara web o de videocharla de MSN Messenger (CVE-2007-2931)

Preguntas más frecuentes sobre la vulnerabilidad de ejecución remota de código en sesión de cámara web o de videocharla de MSN Messenger (CVE-2007-2931)

¿Cuál es el alcance de esta vulnerabilidad?
Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas, ver, cambiar o eliminar datos o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cuál es la causa de esta vulnerabilidad?
La vulnerabilidad se debe a la forma en que MSN Messenger o Windows Live Messenger tratan las sesiones de cámara web o de videocharla especialmente diseñadas. Esto podría provocar que la memoria se dañe de manera que un atacante pueda ejecutar código arbitrario en el contexto de seguridad del usuario que ha iniciado sesión.

¿Para qué puede usar un atacante esta vulnerabilidad?
Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas, ver, cambiar o eliminar datos o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cómo podría aprovechar un atacante la vulnerabilidad?
El atacante podría enviar una invitación a un usuario para que se uniera a una sesión de cámara web o de videocharla especialmente diseñada para aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría obligar a los usuarios a unirse a una sesión de cámara web o de videocharla. En su lugar, tendría que convencerles para que aceptaran dicha invitación.

¿Qué sistemas están más expuestos a esta vulnerabilidad?
Para que se produzca una acción de este tipo, esta vulnerabilidad requiere que el usuario inicie sesión en el servicio de MSN Messenger o Windows Live Messenger y acepte una invitación de cámara web o de videocharla. Por lo tanto, cualquier sistema donde se use MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 o Windows Live Messenger 8.0, como estaciones de trabajo o servidores, está expuesto a esta vulnerabilidad.

¿Cómo funciona esta actualización?
MSN Messenger 7.0.0820 y Windows Live Messenger 8.1 se han actualizado para administrar de forma suficiente las sesiones de cámara web o de videocharla.

No uso cámara web. ¿Tengo que actualizarme?
Sí. Al iniciar sesión, el servicio de MSN Messenger o Windows Live Messenger le notificará que se actualice al cliente de MSN Messenger o Windows Live Messenger correspondiente a su plataforma si no lo ha hecho todavía.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?
Sí. Esa vulnerabilidad ya se ha divulgado. Se le ha asignado el número de vulnerabilidad y exposición común CVE-2007-2931.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?
No. En el momento de emitir este boletín de seguridad, Microsoft tenía pruebas de la publicación de código de tipo conceptual pero no había recibido información alguna que indicara que esta vulnerabilidad se había utilizado para atacar a los clientes.

Información sobre la actualización

Implementación de la actualización de seguridad

Software afectado

Para obtener información sobre la actualización de seguridad específica para su software afectado, haga clic en el vínculo apropiado:

MSN Messenger (todas las versiones) en Windows 2000


Requisitos previos	MSN Messenger 6.2 en Microsoft Windows 2000 Service Pack 4 MSN Messenger 7.0 en Microsoft Windows 2000 Service Pack 4
Implementación	Al iniciar sesión en el servicio de MSN Messenger, acepte la solicitud de actualizar a MSN Messenger 7.0.0820. Además, los usuarios que deseen descargar la actualización a MSN Messenger 7.0.0820 inmediatamente pueden hacerlo si utilizan el vínculo Centro de descarga que se proporciona en la tabla Software afectado. Tenga en cuenta que esto sólo se aplica a usuarios de MSN Messenger 6.2 y MSN Messenger 7.0 en ediciones compatibles de Microsoft Windows 2000 Service Pack 4.
Requisito de reinicio	Sí, es posible que deba reiniciar el sistema después de la actualización si, durante la misma, tiene usuarios con varias sesiones de MSN Messenger activas en el sistema
Información sobre la eliminación	Use la herramienta Agregar o quitar programas, que se encuentra en el Panel de control
Comprobación de la actualización	En MSN Messenger, haga clic en Ayuda y, a continuación, en Acerca de. Compruebe que el número de versión sea 7.0.0820.

MSN Messenger o Windows Live Messenger (todas las versiones) en Windows XP, Windows Server 2003 y Windows Vista

Tabla de referencia

La tabla siguiente contiene la información para actualizar a Windows Live Messenger 8.1:


Requisitos previos	MSN Messenger 6.2 en Windows XP Service Pack 2 MSN Messenger 7.0 en Windows XP Service Pack 2 MSN Messenger 7.5 en Windows XP Service Pack 2 Windows Live Messenger 8.0 en Windows XP Service Pack 2 MSN Messenger 6.2 en Windows XP Professional x64 Edition MSN Messenger 7.0 en Windows XP Professional x64 Edition MSN Messenger 7.5 en Windows XP Professional x64 Edition Windows Live Messenger 8.0 en Windows XP Professional x64 Edition MSN Messenger 6.2 en Windows XP Professional x64 Edition Service Pack 2 MSN Messenger 7.0 en Windows XP Professional x64 Edition Service Pack 2 MSN Messenger 7.5 en Windows XP Professional x64 Edition Service Pack 2 Windows Live Messenger 8.0 en Windows XP Professional x64 Edition Service Pack 2 MSN Messenger 6.2 en Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2 MSN Messenger 7.0 en Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2 MSN Messenger 7.5 en Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2 Windows Live Messenger 8.0 en Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2 MSN Messenger 6.2 en Windows Server 2003 x64 Edition MSN Messenger 7.0 en Windows Server 2003 x64 Edition MSN Messenger 7.5 en Windows Server 2003 x64 Edition Windows Live Messenger 8.0 en Windows Server 2003 x64 Edition MSN Messenger 6.2 en Windows Server 2003 x64 Edition Service Pack 2 MSN Messenger 7.0 en Windows Server 2003 x64 Edition Service Pack 2 MSN Messenger 7.5 en Windows Server 2003 x64 Edition Service Pack 2 Windows Live Messenger 8.0 en Windows Server 2003 x64 Edition Service Pack 2 MSN Messenger 6.2 en Windows Vista MSN Messenger 7.0 en Windows Vista MSN Messenger 7.5 en Windows Vista Windows Live Messenger 8.0 en Windows Vista MSN Messenger 6.2 en Windows Vista x64 Edition MSN Messenger 7.0 en Windows Vista x64 Edition MSN Messenger 7.5 en Windows Vista x64 Edition Windows Live Messenger 8.0 en Windows Vista x64 Edition
Implementación	Al iniciar sesión en el servicio de MSN Messenger o Windows Live Messenger, acepte la solicitud de actualizar a Windows Live Messenger 8.1. Además, los usuarios que deseen descargar la actualización a Windows Live Messenger 8.1 inmediatamente pueden hacerlo si utilizan el vínculo Centro de descarga que se proporciona en la tabla Software afectado. Tenga en cuenta que esto sólo se aplica a usuarios de MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 y Windows Live Messenger 8.0 en ediciones compatibles de Microsoft Windows 2000 Service Pack 4.
Requisito de reinicio	Sí, es posible que deba reiniciar el sistema después de la actualización si, durante la misma, tiene usuarios con varias sesiones de MSN Messenger o Windows Live Messenger activas en el sistema
Información sobre la eliminación	Use la herramienta Agregar o quitar programas, que se encuentra en el Panel de control
Comprobación de la actualización	En Windows Live Messenger, haga clic en Ayuda y, a continuación, en Acerca de. Compruebe que el número de versión sea 8.1.0178.00.

Información adicional:

Agradecimientos

Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

Woo Shi, de team 509, por informar de la vulnerabilidad de ejecución remota de código en la videocharla de MSN Messenger (CVE-2007-2931)

Soporte técnico

Puede solicitar soporte técnico en los Servicios de soporte técnico de Microsoft o a través del teléfono 902 197 198.
Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad son gratuitas. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite el sitio web de soporte técnico internacional de Microsoft.

Renuncia

La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones

V1.0 (11 de septiembre de 2007): Publicación del boletín.
V1.1 (12 de septiembre de 2007): Vínculos de Centro de descarga agregados a la tabla Software afectado para actualizar a Windows Live Messenger 8.1.