Boletín de seguridad de Microsoft MS09-062 - Crítica

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
• En el caso de un ataque basado en web, el intruso podría alojar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo establece el nivel de seguridad para la zona Internet en Alto. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer. Vea la subsección P+F correspondiente a esta sección de vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.
• La vulnerabilidad puede aprovecharla un atacante que haya convencido a un usuario para abrir un archivo especialmente diseñado. El atacante no puede obligar al usuario a abrir un archivo especialmente diseñado.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Deshabilitar el procesamiento de metarchivos

  1. Haga clic en Inicio, en Ejecutar, escriba Regedit y, a continuación, haga clic en Aceptar.

  2. Busque y haga clic en la siguiente subclave del Registro:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize

  3. En el menú Edición, seleccione Nuevo y, a continuación, haga clic en Valor DWORD.

  4. Escriba DisableMetaFiles y, a continuación, presione ENTRAR.

  5. En el menú Edición, haga clic en Modificar para modificar la entrada del Registro DisableMetaFiles.

  6. En el cuadro Información del valor, escriba 1 y, a continuación, haga clic en Aceptar.

  7. Salga del Editor del Registro.

  8. Reinicie el equipo.

  Consecuencias de la solución provisional. Dejará de funcionar el procesamiento de metarchivos.

  Cómo deshacer la solución provisional.

  1. Haga clic en Inicio, en Ejecutar, escriba Regedit y, a continuación, haga clic en Aceptar.

  2. Busque y haga clic en la siguiente subclave del Registro:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize

  3. En el menú Edición, haga clic en Modificar en la entrada del Registro DisableMetaFiles.

  4. En el cuadro Información del valor, escriba 0 y, a continuación, haga clic en Aceptar.

  5. Salga del Editor del Registro.

  6. Reinicie el equipo.

• Deshabilitar el procesamiento de metarchivos a través de GPO

  1. Guarde lo siguiente en un archivo con la extensión .REG (por ejemplo, Deshabilitar_Metarchivos.reg):

  Editor del Registro de Windows versión 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize]

  "DisableMetaFiles"=dword:00000001

  2. Ejecute la secuencia de comandos del Registro anterior en el equipo de destino con el siguiente comando desde un símbolo del sistema con privilegios de administrador:

  Regedit.exe /s Deshabilitar_Metarchivos.reg

  3. Reinicie el equipo.

  Consecuencias de la solución provisional. Dejará de funcionar el procesamiento de metarchivos.

• Restringir el acceso a gdiplus.dll

  1. Ejecute los comandos siguientes en el símbolo del sistema de administrador con privilegios elevados

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

  2. Reinicie.

  Consecuencias de la solución provisional. Dibujo de Windows y Visor de fax (en ediciones anteriores a Windows Vista) así como otras aplicaciones que se basan en GDI+ no podrán ver las imágenes. Tampoco se mostrarán las vistas en miniatura en el Explorador de Windows (en versiones anteriores a Vista).

  Cómo deshacer la solución provisional.

  1. Ejecute los comandos siguientes en el símbolo del sistema de administrador con privilegios elevados

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

  2. Reinicie.

• Cancelar el registro de vgx.dll

  1. Haga clic en Inicio, en Ejecutar, escriba "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" y, a continuación, haga clic en Aceptar.

  2. Un cuadro de diálogo aparece para confirmar que el proceso de cancelación de registro ha sido correcto. Haga clic en Aceptar para cerrar el cuadro de diálogo.

  Consecuencias de la solución provisional. Las aplicaciones que procesan VML ya no funcionarán después de haber eliminado el registro de vgx.dll.

  Cómo deshacer la solución provisional.

  1. Haga clic en Inicio, en Ejecutar, escriba "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" y, a continuación, haga clic en Aceptar.

  2. Aparece un cuadro de diálogo para confirmar que el proceso de registro ha sido correcto. Haga clic en Aceptar para cerrar el cuadro de diálogo.

• Evitar que RSClientPrint se ejecute en Internet Explorer

  Puede deshabilitar los intentos de ejecutar RSClientPrint en Internet Explorer configurando el bit de interrupción del control en el Registro.

  Advertencia Si utiliza el Editor del Registro incorrectamente, puede provocar problemas graves que conlleven la reinstalación del sistema operativo. Microsoft no le garantiza que pueda resolver los problemas provocados por el uso incorrecto del Editor del Registro. El uso del Editor del Registro es responsabilidad suya.

  Si desea ver el procedimiento detallado para impedir que un control se ejecute en Internet Explorer, consulte el artículo 240797 de Microsoft Knowledge Base. Siga estos pasos para crear un valor de indicadores de compatibilidad en el Registro para evitar que se ejecute RSClientPrint en Internet Explorer.

  Pegue el texto siguiente en un editor de texto como Bloc de notas. A continuación, guarde el archivo con la extensión de nombre de archivo .reg.

  Editor del Registro de Windows versión 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  Puede aplicar este archivo .reg a sistemas individuales si hace doble clic en él. También puede aplicarlo entre dominios mediante Directiva de grupo. Para obtener más información acerca de directivas de grupo, consulte los siguientes sitios web de Microsoft:

  • Colección de directivas de grupo
  • ¿Qué es el editor de objetos de directiva de grupo?
  • Configuración y herramientas básicas de directiva de grupo

  Nota Debe reiniciar Internet para que los cambios surtan efecto.

  Consecuencias de la solución provisional. No hay consecuencias siempre que el objeto no esté diseñado para utilizarse en Internet Explorer.

  Cómo deshacer la solución provisional.

  Pegue el texto siguiente en un editor de texto como Bloc de notas. A continuación, guarde el archivo con la extensión de nombre de archivo .reg.

  Editor del Registro de Windows versión 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  Puede aplicar este archivo .reg a sistemas individuales si hace doble clic en él. También puede aplicarlo entre dominios mediante Directiva de grupo. Para obtener más información acerca de directivas de grupo, consulte los siguientes sitios web de Microsoft:

  • Colección de directivas de grupo
  • ¿Qué es el editor de objetos de directiva de grupo?
  • Configuración y herramientas básicas de directiva de grupo

  Nota Debe reiniciar Internet para que los cambios surtan efecto.

• Leer los correos electrónicos en texto sin formato

  Para protegerse del tipo de ataque mediante correo electrónico, lea los mensajes de correo electrónico en texto sin formato.

  Los usuarios de Microsoft Office Outlook 2002 que han aplicado Office XP Service Pack 1 o una versión posterior, y los usuarios de Microsoft Office Outlook Express 6 que han aplicado Internet Explorer 6 Service Pack 1 o una versión posterior pueden habilitar una característica para ver los mensajes de correo electrónico que no estén firmados digitalmente o que no estén cifrados sólo en texto sin formato.

  A los mensajes de correo electrónico firmados digitalmente o cifrados no les afecta esta configuración y pueden leerse en sus formatos originales. Para obtener más información acerca de cómo habilitar esta configuración en Outlook 2002, vea el artículo 307594 de Microsoft Knowledge Base.

  Para obtener más información acerca de esta configuración de Outlook Express 6, consulte el artículo 291387 de Microsoft Knowledge Base.

  Consecuencias de la solución provisional. Los mensajes vistos como texto sin formato no contienen imágenes, fuentes especiales, animaciones o contenido enriquecido. Además:

  • Los cambios se aplican al panel de vista previa y a los mensajes abiertos.
  • Las imágenes se conservan como archivos adjuntos.
  • Como el formato del mensaje sigue siendo de texto enriquecido o HTML en el almacén, el modelo de objetos (soluciones de código personalizado) puede comportarse inesperadamente.

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cuál es la causa de esta vulnerabilidad?  
La vulnerabilidad se debe a que GDI+ valida y restringe incorrectamente las longitudes de búfer pasadas al montón.

¿Para qué puede usar un atacante esta vulnerabilidad?  
Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante podría lograr el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Un atacante podría alojar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. También puede tratarse de sitios web vulnerables y sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por tanto, tendría que atraerlos al sitio web; por lo general, incitándoles a hacer clic en un vínculo de un mensaje de correo electrónico o en una petición de Instant Messenger que lleven a los usuarios al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.

En el supuesto de un ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad enviando a los usuarios de Outlook un correo electrónico especialmente diseñado o un documento de Office especialmente diseñado y convenciéndoles de que abra el archivo o lea el mensaje.

Los atacantes también podrían aprovechar esta vulnerabilidad si hospedan una imagen malintencionada en un recurso compartido de red y, a continuación, convencen a un usuario para que examine la carpeta en el Explorador de Windows.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Para que se produzca una acción de este tipo, esta vulnerabilidad requiere que el usuario haya iniciado la sesión esté leyendo mensajes de correo electrónico, visitando sitios Web o abriendo archivos en un recurso compartido de red. Por lo tanto, cualquier sistema en el que se lean los mensajes de correo electrónico, se utilice Internet Explorer de forma habitual o los usuarios tengan acceso a recursos compartidos de red (como estaciones de trabajo y servidores de Terminal Server) está expuesto a esta vulnerabilidad. Los sistemas que no se suelen utilizar para visitar sitios web, como la mayoría de los sistemas de servidor, sufren un riesgo mínimo.

¿Cómo funciona esta actualización?  
La actualización corrige la vulnerabilidad al incluir validaciones de datos correctas en GDI+ al representar las imágenes WMF.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?  
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
• En el caso de un ataque basado en web, el intruso podría alojar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo establece el nivel de seguridad para la zona Internet en Alto. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer. Vea la subsección P+F correspondiente a esta sección de vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Restringir el acceso a gdiplus.dll

  1. Ejecute los comandos siguientes en el símbolo del sistema de administrador con privilegios elevados

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

  2. Reinicie.

  Consecuencias de la solución provisional. Dibujo de Windows y Visor de fax (en ediciones anteriores a Windows Vista) así como otras aplicaciones que se basan en GDI+ no podrán ver las imágenes. Tampoco se mostrarán las vistas en miniatura en el Explorador de Windows (en versiones anteriores a Vista).

  Cómo deshacer la solución provisional.

  1. Ejecute los comandos siguientes en el símbolo del sistema de administrador con privilegios elevados

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

  2. Reinicie.

• Cancelar el registro de vgx.dll

  1. Haga clic en Inicio, en Ejecutar, escriba "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" y, a continuación, haga clic en Aceptar.

  2. Un cuadro de diálogo aparece para confirmar que el proceso de cancelación de registro ha sido correcto. Haga clic en Aceptar para cerrar el cuadro de diálogo.

  Consecuencias de la solución provisional. Las aplicaciones que procesan VML ya no funcionarán después de haber eliminado el registro de vgx.dll.

  Cómo deshacer la solución provisional.

  1. Haga clic en Inicio, en Ejecutar, escriba "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" y, a continuación, haga clic en Aceptar.

  2. Aparece un cuadro de diálogo para confirmar que el proceso de registro ha sido correcto. Haga clic en Aceptar para cerrar el cuadro de diálogo.

• Evitar que RSClientPrint se ejecute en Internet Explorer

  Puede deshabilitar los intentos de ejecutar RSClientPrint en Internet Explorer configurando el bit de interrupción del control en el Registro.

  Advertencia Si utiliza el Editor del Registro incorrectamente, puede provocar problemas graves que conlleven la reinstalación del sistema operativo. Microsoft no le garantiza que pueda resolver los problemas provocados por el uso incorrecto del Editor del Registro. El uso del Editor del Registro es responsabilidad suya.

  Si desea ver el procedimiento detallado para impedir que un control se ejecute en Internet Explorer, consulte el artículo 240797 de Microsoft Knowledge Base. Siga estos pasos para crear un valor de indicadores de compatibilidad en el Registro para evitar que se ejecute RSClientPrint en Internet Explorer.

  Pegue el texto siguiente en un editor de texto como Bloc de notas. A continuación, guarde el archivo con la extensión de nombre de archivo .reg.

  Editor del Registro de Windows versión 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  Puede aplicar este archivo .reg a sistemas individuales si hace doble clic en él. También puede aplicarlo entre dominios mediante Directiva de grupo. Para obtener más información acerca de directivas de grupo, consulte los siguientes sitios web de Microsoft:

  • Colección de directivas de grupo
  • ¿Qué es el editor de objetos de directiva de grupo?
  • Configuración y herramientas básicas de directiva de grupo

  Nota Debe reiniciar Internet para que los cambios surtan efecto.

  Consecuencias de la solución provisional. No hay consecuencias siempre que el objeto no esté diseñado para utilizarse en Internet Explorer.

  Cómo deshacer la solución provisional.

  Pegue el texto siguiente en un editor de texto como Bloc de notas. A continuación, guarde el archivo con la extensión de nombre de archivo .reg.

  Editor del Registro de Windows versión 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  Puede aplicar este archivo .reg a sistemas individuales si hace doble clic en él. También puede aplicarlo entre dominios mediante Directiva de grupo. Para obtener más información acerca de directivas de grupo, consulte los siguientes sitios web de Microsoft:

  • Colección de directivas de grupo
  • ¿Qué es el editor de objetos de directiva de grupo?
  • Configuración y herramientas básicas de directiva de grupo

  Nota Debe reiniciar Internet para que los cambios surtan efecto.

• Leer los correos electrónicos en texto sin formato

  Para protegerse del tipo de ataque mediante correo electrónico, lea los mensajes de correo electrónico en texto sin formato.

  Los usuarios de Microsoft Office Outlook 2002 que han aplicado Office XP Service Pack 1 o una versión posterior, y los usuarios de Microsoft Office Outlook Express 6 que han aplicado Internet Explorer 6 Service Pack 1 o una versión posterior pueden habilitar una característica para ver los mensajes de correo electrónico que no estén firmados digitalmente o que no estén cifrados sólo en texto sin formato.

  A los mensajes de correo electrónico firmados digitalmente o cifrados no les afecta esta configuración y pueden leerse en sus formatos originales. Para obtener más información acerca de cómo habilitar esta configuración en Outlook 2002, vea el artículo 307594 de Microsoft Knowledge Base.

  Para obtener más información acerca de esta configuración de Outlook Express 6, consulte el artículo 291387 de Microsoft Knowledge Base.

  Consecuencias de la solución provisional. Los mensajes vistos como texto sin formato no contienen imágenes, fuentes especiales, animaciones o contenido enriquecido. Además:

  • Los cambios se aplican al panel de vista previa y a los mensajes abiertos.
  • Las imágenes se conservan como archivos adjuntos.
  • Como el formato del mensaje sigue siendo de texto enriquecido o HTML en el almacén, el modelo de objetos (soluciones de código personalizado) puede comportarse inesperadamente.

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cuál es la causa de esta vulnerabilidad?  
Esta vulnerabilidad se debe a un búfer sin comprobar en el procesamiento de PNG por GDI+.

¿Para qué puede usar un atacante esta vulnerabilidad?  
Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante podría lograr el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Un atacante podría alojar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. También puede tratarse de sitios web vulnerables y sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por tanto, tendría que atraerlos al sitio web; por lo general, incitándoles a hacer clic en un vínculo de un mensaje de correo electrónico o en una petición de Instant Messenger que lleven a los usuarios al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.

En el supuesto de un ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad enviando a los usuarios de Outlook un correo electrónico especialmente diseñado o un documento de Office especialmente diseñado y convenciéndoles de que abra el archivo o lea el mensaje. .

Los atacantes también podrían aprovechar esta vulnerabilidad si hospedan una imagen malintencionada en un recurso compartido de red y, a continuación, convencen a un usuario para que examine la carpeta en el Explorador de Windows.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Para que se produzca una acción de este tipo, esta vulnerabilidad requiere que el usuario haya iniciado la sesión esté leyendo mensajes de correo electrónico, visitando sitios Web o abriendo archivos en un recurso compartido de red. Por lo tanto, cualquier sistema en el que se lean los mensajes de correo electrónico, se utilice Internet Explorer de forma habitual o los usuarios tengan acceso a recursos compartidos de red (como estaciones de trabajo y servidores de Terminal Server) está expuesto a esta vulnerabilidad. Los sistemas que no se suelen utilizar para visitar sitios web, como la mayoría de los sistemas de servidor, sufren un riesgo mínimo.

¿Cómo funciona esta actualización?  
La actualización elimina la vulnerabilidad al modificar la manera en la que GDI+ administra un búfer del motor al leer un archivo PNG.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?  
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
• En el caso de un ataque basado en web, el intruso podría alojar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo establece el nivel de seguridad para la zona Internet en Alto. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer. Vea la subsección P+F correspondiente a esta sección de vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Restringir el acceso a gdiplus.dll

  1. Ejecute los comandos siguientes en el símbolo del sistema de administrador con privilegios elevados

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

  2. Reinicie.

  Consecuencias de la solución provisional. Dibujo de Windows y Visor de fax (en ediciones anteriores a Windows Vista) así como otras aplicaciones que se basan en GDI+ no podrán ver las imágenes. Tampoco se mostrarán las vistas en miniatura en el Explorador de Windows (en versiones anteriores a Vista).

  Cómo deshacer la solución provisional.

  1. Ejecute los comandos siguientes en el símbolo del sistema de administrador con privilegios elevados

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

  2. Reinicie.

• Cancelar el registro de vgx.dll

  1. Haga clic en Inicio, en Ejecutar, escriba "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" y, a continuación, haga clic en Aceptar.

  2. Un cuadro de diálogo aparece para confirmar que el proceso de cancelación de registro ha sido correcto. Haga clic en Aceptar para cerrar el cuadro de diálogo.

  Consecuencias de la solución provisional. Las aplicaciones que procesan VML ya no funcionarán después de haber eliminado el registro de vgx.dll.

  Cómo deshacer la solución provisional.

  1. Haga clic en Inicio, en Ejecutar, escriba "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" y, a continuación, haga clic en Aceptar.

  2. Aparece un cuadro de diálogo para confirmar que el proceso de registro ha sido correcto. Haga clic en Aceptar para cerrar el cuadro de diálogo.

• Evitar que RSClientPrint se ejecute en Internet Explorer

  Puede deshabilitar los intentos de ejecutar RSClientPrint en Internet Explorer configurando el bit de interrupción del control en el Registro.

  Advertencia Si utiliza el Editor del Registro incorrectamente, puede provocar problemas graves que conlleven la reinstalación del sistema operativo. Microsoft no le garantiza que pueda resolver los problemas provocados por el uso incorrecto del Editor del Registro. El uso del Editor del Registro es responsabilidad suya.

  Si desea ver el procedimiento detallado para impedir que un control se ejecute en Internet Explorer, consulte el artículo 240797 de Microsoft Knowledge Base. Siga estos pasos para crear un valor de indicadores de compatibilidad en el Registro para evitar que se ejecute RSClientPrint en Internet Explorer.

  Pegue el texto siguiente en un editor de texto como Bloc de notas. A continuación, guarde el archivo con la extensión de nombre de archivo .reg.

  Editor del Registro de Windows versión 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  Puede aplicar este archivo .reg a sistemas individuales si hace doble clic en él. También puede aplicarlo entre dominios mediante Directiva de grupo. Para obtener más información acerca de directivas de grupo, consulte los siguientes sitios web de Microsoft:

  • Colección de directivas de grupo
  • ¿Qué es el editor de objetos de directiva de grupo?
  • Configuración y herramientas básicas de directiva de grupo

  Nota Debe reiniciar Internet para que los cambios surtan efecto.

  Consecuencias de la solución provisional. No hay consecuencias siempre que el objeto no esté diseñado para utilizarse en Internet Explorer.

  Cómo deshacer la solución provisional.

  Pegue el texto siguiente en un editor de texto como Bloc de notas. A continuación, guarde el archivo con la extensión de nombre de archivo .reg.

  Editor del Registro de Windows versión 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  Puede aplicar este archivo .reg a sistemas individuales si hace doble clic en él. También puede aplicarlo entre dominios mediante Directiva de grupo. Para obtener más información acerca de directivas de grupo, consulte los siguientes sitios web de Microsoft:

  • Colección de directivas de grupo
  • ¿Qué es el editor de objetos de directiva de grupo?
  • Configuración y herramientas básicas de directiva de grupo

  Nota Debe reiniciar Internet para que los cambios surtan efecto.

• Leer los correos electrónicos en texto sin formato

  Para protegerse del tipo de ataque mediante correo electrónico, lea los mensajes de correo electrónico en texto sin formato.

  Los usuarios de Microsoft Office Outlook 2002 que han aplicado Office XP Service Pack 1 o una versión posterior, y los usuarios de Microsoft Office Outlook Express 6 que han aplicado Internet Explorer 6 Service Pack 1 o una versión posterior pueden habilitar una característica para ver los mensajes de correo electrónico que no estén firmados digitalmente o que no estén cifrados sólo en texto sin formato.

  A los mensajes de correo electrónico firmados digitalmente o cifrados no les afecta esta configuración y pueden leerse en sus formatos originales. Para obtener más información acerca de cómo habilitar esta configuración en Outlook 2002, vea el artículo 307594 de Microsoft Knowledge Base.

  Para obtener más información acerca de esta configuración de Outlook Express 6, consulte el artículo 291387 de Microsoft Knowledge Base.

  Consecuencias de la solución provisional. Los mensajes vistos como texto sin formato no contienen imágenes, fuentes especiales, animaciones o contenido enriquecido. Además:

  • Los cambios se aplican al panel de vista previa y a los mensajes abiertos.
  • Las imágenes se conservan como archivos adjuntos.
  • Como el formato del mensaje sigue siendo de texto enriquecido o HTML en el almacén, el modelo de objetos (soluciones de código personalizado) puede comportarse inesperadamente.

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cuál es la causa de esta vulnerabilidad?  
Esta vulnerabilidad se debe a un búfer sin comprobar en el procesamiento de TIFF por GDI+.

¿Para qué puede usar un atacante esta vulnerabilidad?  
Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante podría lograr el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Un atacante podría alojar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. También puede tratarse de sitios web vulnerables y sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por tanto, tendría que atraerlos al sitio web; por lo general, incitándoles a hacer clic en un vínculo de un mensaje de correo electrónico o en una petición de Instant Messenger que lleven a los usuarios al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.

En el supuesto de un ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad enviando a los usuarios de Outlook un correo electrónico especialmente diseñado o un documento de Office especialmente diseñado y convenciéndoles de que abra el archivo o lea el mensaje.

Los atacantes también podrían aprovechar esta vulnerabilidad si hospedan una imagen malintencionada en un recurso compartido de red y, a continuación, convencen a un usuario para que examine la carpeta en el Explorador de Windows.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Para que se produzca una acción de este tipo, esta vulnerabilidad requiere que el usuario haya iniciado la sesión esté leyendo mensajes de correo electrónico, visitando sitios Web o abriendo archivos en un recurso compartido de red. Por lo tanto, cualquier sistema en el que se lean los mensajes de correo electrónico, se utilice Internet Explorer de forma habitual o los usuarios tengan acceso a recursos compartidos de red (como estaciones de trabajo y servidores de Terminal Server) está expuesto a esta vulnerabilidad. Los sistemas que no se suelen utilizar para visitar sitios web, como la mayoría de los sistemas de servidor, sufren un riesgo mínimo.

¿Cómo funciona esta actualización?  
La actualización elimina la vulnerabilidad al modificar la manera en la que GDI+ asigna un búfer usado al leer archivos TIFF.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?  
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
• En el caso de un ataque basado en web, el intruso podría alojar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo establece el nivel de seguridad para la zona Internet en Alto. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer. Vea la subsección P+F correspondiente a esta sección de vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Restringir el acceso a gdiplus.dll

  1. Ejecute los comandos siguientes en el símbolo del sistema de administrador con privilegios elevados

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

  2. Reinicie.

  Consecuencias de la solución provisional. Dibujo de Windows y Visor de fax (en ediciones anteriores a Windows Vista) así como otras aplicaciones que se basan en GDI+ no podrán ver las imágenes. Tampoco se mostrarán las vistas en miniatura en el Explorador de Windows (en versiones anteriores a Vista).

  Cómo deshacer la solución provisional.

  1. Ejecute los comandos siguientes en el símbolo del sistema de administrador con privilegios elevados

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

  2. Reinicie.

• Cancelar el registro de vgx.dll

  1. Haga clic en Inicio, en Ejecutar, escriba "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" y, a continuación, haga clic en Aceptar.

  2. Un cuadro de diálogo aparece para confirmar que el proceso de cancelación de registro ha sido correcto. Haga clic en Aceptar para cerrar el cuadro de diálogo.

  Consecuencias de la solución provisional. Las aplicaciones que procesan VML ya no funcionarán después de haber eliminado el registro de vgx.dll.

  Cómo deshacer la solución provisional.

  1. Haga clic en Inicio, en Ejecutar, escriba "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" y, a continuación, haga clic en Aceptar.

  2. Aparece un cuadro de diálogo para confirmar que el proceso de registro ha sido correcto. Haga clic en Aceptar para cerrar el cuadro de diálogo.

• Evitar que RSClientPrint se ejecute en Internet Explorer

  Puede deshabilitar los intentos de ejecutar RSClientPrint en Internet Explorer configurando el bit de interrupción del control en el Registro.

  Advertencia Si utiliza el Editor del Registro incorrectamente, puede provocar problemas graves que conlleven la reinstalación del sistema operativo. Microsoft no le garantiza que pueda resolver los problemas provocados por el uso incorrecto del Editor del Registro. El uso del Editor del Registro es responsabilidad suya.

  Si desea ver el procedimiento detallado para impedir que un control se ejecute en Internet Explorer, consulte el artículo 240797 de Microsoft Knowledge Base. Siga estos pasos para crear un valor de indicadores de compatibilidad en el Registro para evitar que se ejecute RSClientPrint en Internet Explorer.

  Pegue el texto siguiente en un editor de texto como Bloc de notas. A continuación, guarde el archivo con la extensión de nombre de archivo .reg.

  Editor del Registro de Windows versión 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  Puede aplicar este archivo .reg a sistemas individuales si hace doble clic en él. También puede aplicarlo entre dominios mediante Directiva de grupo. Para obtener más información acerca de directivas de grupo, consulte los siguientes sitios web de Microsoft:

  • Colección de directivas de grupo
  • ¿Qué es el editor de objetos de directiva de grupo?
  • Configuración y herramientas básicas de directiva de grupo

  Nota Debe reiniciar Internet para que los cambios surtan efecto.

  Consecuencias de la solución provisional. No hay consecuencias siempre que el objeto no esté diseñado para utilizarse en Internet Explorer.

  Cómo deshacer la solución provisional.

  Pegue el texto siguiente en un editor de texto como Bloc de notas. A continuación, guarde el archivo con la extensión de nombre de archivo .reg.

  Editor del Registro de Windows versión 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  Puede aplicar este archivo .reg a sistemas individuales si hace doble clic en él. También puede aplicarlo entre dominios mediante Directiva de grupo. Para obtener más información acerca de directivas de grupo, consulte los siguientes sitios web de Microsoft:

  • Colección de directivas de grupo
  • ¿Qué es el editor de objetos de directiva de grupo?
  • Configuración y herramientas básicas de directiva de grupo

  Nota Debe reiniciar Internet para que los cambios surtan efecto.

• Leer los correos electrónicos en texto sin formato

  Para protegerse del tipo de ataque mediante correo electrónico, lea los mensajes de correo electrónico en texto sin formato.

  Los usuarios de Microsoft Office Outlook 2002 que han aplicado Office XP Service Pack 1 o una versión posterior, y los usuarios de Microsoft Office Outlook Express 6 que han aplicado Internet Explorer 6 Service Pack 1 o una versión posterior pueden habilitar una característica para ver los mensajes de correo electrónico que no estén firmados digitalmente o que no estén cifrados sólo en texto sin formato.

  A los mensajes de correo electrónico firmados digitalmente o cifrados no les afecta esta configuración y pueden leerse en sus formatos originales. Para obtener más información acerca de cómo habilitar esta configuración en Outlook 2002, vea el artículo 307594 de Microsoft Knowledge Base.

  Para obtener más información acerca de esta configuración de Outlook Express 6, consulte el artículo 291387 de Microsoft Knowledge Base.

  Consecuencias de la solución provisional. Los mensajes vistos como texto sin formato no contienen imágenes, fuentes especiales, animaciones o contenido enriquecido. Además:

  • Los cambios se aplican al panel de vista previa y a los mensajes abiertos.
  • Las imágenes se conservan como archivos adjuntos.
  • Como el formato del mensaje sigue siendo de texto enriquecido o HTML en el almacén, el modelo de objetos (soluciones de código personalizado) puede comportarse inesperadamente.

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cuál es la causa de esta vulnerabilidad?  
Esta vulnerabilidad se debe a un búfer sin comprobar en el procesamiento de TIFF por GDI+.

¿Para qué puede usar un atacante esta vulnerabilidad?  
Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante podría lograr el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Un atacante podría alojar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. También puede tratarse de sitios web vulnerables y sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por tanto, tendría que atraerlos al sitio web; por lo general, incitándoles a hacer clic en un vínculo de un mensaje de correo electrónico o en una petición de Instant Messenger que lleven a los usuarios al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.

En el supuesto de un ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad enviando a los usuarios de Outlook un correo electrónico especialmente diseñado o un documento de Office especialmente diseñado y convenciéndoles de que abra el archivo o lea el mensaje.

Los atacantes también podrían aprovechar esta vulnerabilidad si hospedan una imagen malintencionada en un recurso compartido de red y, a continuación, convencen a un usuario para que examine la carpeta en el Explorador de Windows.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Para que se produzca una acción de este tipo, esta vulnerabilidad requiere que el usuario haya iniciado la sesión esté leyendo mensajes de correo electrónico, visitando sitios Web o abriendo archivos en un recurso compartido de red. Por lo tanto, cualquier sistema en el que se lean los mensajes de correo electrónico, se utilice Internet Explorer de forma habitual o los usuarios tengan acceso a recursos compartidos de red (como estaciones de trabajo y servidores de Terminal Server) está expuesto a esta vulnerabilidad. Los sistemas que no se suelen utilizar para visitar sitios web, como la mayoría de los sistemas de servidor, sufren un riesgo mínimo.

¿Cómo funciona esta actualización?  
La actualización elimina la vulnerabilidad al modificar la manera en la que GDI+ asigna un búfer usado al leer archivos TIFF.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?  
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• Es muy poco probable que un atacante pueda influir de un modo realista en una aplicación .NET no malintencionada para realizar llamadas de API a las funciones vulnerables de un modo adecuado para desencadenar la vulnerabilidad.
• Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local o la cuenta de ASP.NET. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
• En el caso de un ataque basado en web, el intruso podría alojar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo establece el nivel de seguridad para la zona Internet en Alto. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer. Vea la subsección P+F correspondiente a esta sección de vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.
• La vulnerabilidad puede aprovecharla un atacante que haya convencido a un usuario para abrir un archivo especialmente diseñado. El atacante no puede obligar al usuario a abrir un archivo especialmente diseñado.
• La vulnerabilidad no se podría aprovechar automáticamente mediante el correo electrónico. Un usuario debe abrir un archivo adjunto a un mensaje de correo electrónico para que un ataque tenga éxito.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Restringir el acceso a gdiplus.dll

  1. Ejecute los comandos siguientes en el símbolo del sistema de administrador con privilegios elevados

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

  2. Reinicie.

  Consecuencias de la solución provisional. Dibujo de Windows y Visor de fax (en ediciones anteriores a Windows Vista) así como otras aplicaciones que se basan en GDI+ no podrán ver las imágenes. Tampoco se mostrarán las vistas en miniatura en el Explorador de Windows (en versiones anteriores a Vista).

  Cómo deshacer la solución provisional.

  1. Ejecute los comandos siguientes en el símbolo del sistema de administrador con privilegios elevados

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

  2. Reinicie.

• Deshabilitar las aplicaciones XAML del explorador en Internet Explorer

  Puede contribuir a la protección contra esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar aplicaciones XAML del explorador en la zona de seguridad Internet e Intranet local. Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.

  2. Haga clic en la ficha Seguridad.

  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.

  4. En Configuración, en la sección .NET Framework, en Aplicaciones XAML del explorador, haga clic en Pedir datos o Desactivar y, a continuación, haga clic en Aceptar.

  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.

  6. En Configuración, en la sección .NET Framework, en Aplicaciones XAML del explorador, haga clic en Pedir datos o Desactivar y, a continuación, haga clic en Aceptar.

  7. Si se le pregunta si desea confirmar el cambio de configuración, haga clic en Sí.

  8. Haga clic en Aceptar para volver a Internet Explorer.

  Consecuencias de la solución provisional. Las aplicaciones XBAP no se ejecutarán o no se ejecutarán sin una solicitud.

  Nota Al deshabilitar las aplicaciones XAML del explorador en las zonas de seguridad Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para utilizar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de utilizar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Cómo deshacer la solución provisional.

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.

  2. Haga clic en la ficha Seguridad.

  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.

  4. En Configuración, en la sección .NET Framework, en Aplicaciones XAML del explorador, haga clic en Habilitar y, a continuación, haga clic en Aceptar.

  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.

  6. En Configuración, en la sección .NET Framework, en Aplicaciones XAML del explorador, haga clic en Habilitar y, a continuación, haga clic en Aceptar.

  7. Si se le pregunta si desea confirmar el cambio de configuración, haga clic en Sí.

  8. Haga clic en Aceptar para volver a Internet Explorer.

• Deshabilitar las aplicaciones .NET con confianza parcial

  Al impedir que se ejecuten todas las aplicaciones .NET sin confianza plena, esta vulnerabilidad está protegida de forma efectiva, ya que las aplicaciones .NET con confianza plena ya pueden realizar cualquier cambio en el sistema. Para deshabilitar todas las aplicaciones .NET que se ejecutan en confianza parcial, ejecute los siguientes comandos en un símbolo del sistema de administrador con privilegios elevados:

  caspol -pp off
caspol -m -resetlockdown
caspol -pp on

  Consecuencias de la solución provisional. Algunas aplicaciones .NET no se ejecutarán.

  Cómo deshacer la solución provisional.

  Para restablecer las directivas de seguridad .NET a sus valores predeterminados, ejecute los siguientes comandos en un símbolo del sistema de administrador con privilegios elevados:

  caspol -pp off
caspol -m -reset
caspol -pp on

• Evitar que RSClientPrint se ejecute en Internet Explorer

  Puede deshabilitar los intentos de ejecutar RSClientPrint en Internet Explorer configurando el bit de interrupción del control en el Registro.

  Advertencia Si utiliza el Editor del Registro incorrectamente, puede provocar problemas graves que conlleven la reinstalación del sistema operativo. Microsoft no le garantiza que pueda resolver los problemas provocados por el uso incorrecto del Editor del Registro. El uso del Editor del Registro es responsabilidad suya.

  Si desea ver el procedimiento detallado para impedir que un control se ejecute en Internet Explorer, consulte el artículo 240797 de Microsoft Knowledge Base. Siga estos pasos para crear un valor de indicadores de compatibilidad en el Registro para evitar que se ejecute RSClientPrint en Internet Explorer.

  Pegue el texto siguiente en un editor de texto como Bloc de notas. A continuación, guarde el archivo con la extensión de nombre de archivo .reg.

  Editor del Registro de Windows versión 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  Puede aplicar este archivo .reg a sistemas individuales si hace doble clic en él. También puede aplicarlo entre dominios mediante Directiva de grupo. Para obtener más información acerca de directivas de grupo, consulte los siguientes sitios web de Microsoft:

  • Colección de directivas de grupo
  • ¿Qué es el editor de objetos de directiva de grupo?
  • Configuración y herramientas básicas de directiva de grupo

  Nota Debe reiniciar Internet para que los cambios surtan efecto.

  Consecuencias de la solución provisional. No hay consecuencias siempre que el objeto no esté diseñado para utilizarse en Internet Explorer.

  Cómo deshacer la solución provisional.

  Pegue el texto siguiente en un editor de texto como Bloc de notas. A continuación, guarde el archivo con la extensión de nombre de archivo .reg.

  Editor del Registro de Windows versión 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  Puede aplicar este archivo .reg a sistemas individuales si hace doble clic en él. También puede aplicarlo entre dominios mediante Directiva de grupo. Para obtener más información acerca de directivas de grupo, consulte los siguientes sitios web de Microsoft:

  • Colección de directivas de grupo
  • ¿Qué es el editor de objetos de directiva de grupo?
  • Configuración y herramientas básicas de directiva de grupo

  Nota Debe reiniciar Internet para que los cambios surtan efecto.

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que aprovechara esta vulnerabilidad podría ejecutar código en el contexto del usuario que ha iniciado sesión o en el contexto de la cuenta de servicio asociada a una identidad de grupo de aplicaciones.

¿Cuál es la causa de esta vulnerabilidad?  
Esta vulnerabilidad es el resultado de un desbordamiento de enteros en determinadas API de GDI+ a las que se puede obtener acceso desde las aplicaciones .NET Framework.

¿Qué es CAS?  
La seguridad de acceso del código (CAS) es un mecanismo que ayuda a limitar el acceso que el código tiene a los recursos y las operaciones protegidos. Para obtener más información acerca CAS, vea el artículo de MSDN Introducción a la seguridad de acceso del código.

¿Qué es una XBAP?  
Una aplicación XAML del explorador (XBAP) combina características de las aplicaciones web y las aplicaciones de cliente enriquecido. Al igual que las aplicaciones web, las XBAP se pueden publicar en un servidor web e iniciar desde Internet Explorer. Al igual que las aplicaciones de cliente enriquecido, las XBAP pueden aprovechar las capacidades de WPF. Para obtener más información acerca de las XBAP, vea el artículo de MSDN Información general de las aplicaciones XAML del explorador de Windows Presentation Foundation.

¿Para qué puede usar un atacante esta vulnerabilidad?  
Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante podría lograr el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

En el escenario de hospedaje web, un atacante que aprovechara esta vulnerabilidad podría obtener los mismos permisos que la cuenta de servicio asociada a la identidad del grupo de aplicaciones en el que se ejecuta la aplicación de Microsoft .NET. Según la configuración de aislamiento del grupo de aplicaciones y los permisos concedidos a la cuenta de servicio, un atacante podría tomar el control de otros grupos de aplicaciones en el servidor web o podría tomar el control completo del sistema afectado. Para obtener más información acerca de las identidades del grupo de aplicaciones y la configuración, vea el artículo de TechNet Configurar la identidad del grupo aplicaciones.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Esta vulnerabilidad se puede aprovechar en tres escenarios: exploración web, hospedaje web y aplicación Microsoft .NET Framework. Estos escenarios se describen a continuación:

• Escenario de exploración web
  Un atacante podría hospedar un sitio web especialmente diseñado que contuviera una XBAP (aplicación XAML del explorador) especialmente diseñada que aprovechara esta vulnerabilidad y convencer a un usuario para que visitara el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.
• Escenario de hospedaje web
  Si un entorno de hospedaje web permite a los usuarios cargar aplicaciones ASP.NET personalizadas, un atacante podría cargar una aplicación ASP.NET malintencionada que usara esta vulnerabilidad para abrir el espacio aislado CAS que usa la compañía de hospedaje para impedir que el código ASP.NET lleve a cabo acciones perjudiciales en el sistema del servidor.
• Escenario de aplicación Microsoft .NET
  Un atacante podría colocar una aplicación Microsoft .NET Framework malintencionada en un recurso compartido de red y atraer a los usuarios de dicha red para que ejecutaran esa aplicación.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Hay dos tipos de sistemas que están expuestos a esta invulnerabilidad, los cuales se describen a continuación: sistemas que usan el escenario de exploración web y sistemas que usan el escenario hospedaje web.

• Escenario de exploración web
  Para aprovechar esta vulnerabilidad, es necesario que el usuario haya iniciado la sesión y visite sitios web con un explorador web capaz de ejecutar XBAP. Por lo tanto, cualquier sistema en el que se use un explorador web de forma habitual, como estaciones de trabajo y servidores de Terminal Server, está expuesto a esta vulnerabilidad. Los servidores podrían correr un mayor riesgo si los administradores permiten a los usuarios explorar y leer correo electrónico en los servidores. Sin embargo, las prácticas recomendadas desaconsejan permitir esto.
• Escenario de hospedaje web
  Los sitios de hospedaje web que permiten a los usuarios cargar aplicaciones ASP.NET personalizadas están más expuestos.

¿Cómo funciona esta actualización?  
Esta actualización modifica la forma en que GDI+ administra los búferes cuando se realizan determinadas llamadas de API .NET.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?  
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
• En el caso de un ataque basado en web, el intruso podría alojar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo establece el nivel de seguridad para la zona Internet en Alto. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer. Vea la subsección P+F correspondiente a esta sección de vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.
• La vulnerabilidad puede aprovecharla un atacante que haya convencido a un usuario para abrir un archivo especialmente diseñado. El atacante no puede obligar al usuario a abrir un archivo especialmente diseñado.
• La vulnerabilidad no se podría aprovechar automáticamente mediante el correo electrónico. Un usuario debe abrir un archivo adjunto a un mensaje de correo electrónico para que un ataque tenga éxito.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Restringir el acceso a gdiplus.dll

  1. Ejecute los comandos siguientes en el símbolo del sistema de administrador con privilegios elevados

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

  2. Reinicie.

  Consecuencias de la solución provisional. Dibujo de Windows y Visor de fax (en ediciones anteriores a Windows Vista) así como otras aplicaciones que se basan en GDI+ no podrán ver las imágenes. Tampoco se mostrarán las vistas en miniatura en el Explorador de Windows (en versiones anteriores a Vista).

  Cómo deshacer la solución provisional.

  1. Ejecute los comandos siguientes en el símbolo del sistema de administrador con privilegios elevados

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

  2. Reinicie.

• Cancelar el registro de vgx.dll

  1. Haga clic en Inicio, en Ejecutar, escriba "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" y, a continuación, haga clic en Aceptar.

  2. Un cuadro de diálogo aparece para confirmar que el proceso de cancelación de registro ha sido correcto. Haga clic en Aceptar para cerrar el cuadro de diálogo.

  Consecuencias de la solución provisional. Las aplicaciones que procesan VML ya no funcionarán después de haber eliminado el registro de vgx.dll.

  Cómo deshacer la solución provisional.

  1. Haga clic en Inicio, en Ejecutar, escriba "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" y, a continuación, haga clic en Aceptar.

  2. Aparece un cuadro de diálogo para confirmar que el proceso de registro ha sido correcto. Haga clic en Aceptar para cerrar el cuadro de diálogo.

• Evitar que RSClientPrint se ejecute en Internet Explorer

  Puede deshabilitar los intentos de ejecutar RSClientPrint en Internet Explorer configurando el bit de interrupción del control en el Registro.

  Advertencia Si utiliza el Editor del Registro incorrectamente, puede provocar problemas graves que conlleven la reinstalación del sistema operativo. Microsoft no le garantiza que pueda resolver los problemas provocados por el uso incorrecto del Editor del Registro. El uso del Editor del Registro es responsabilidad suya.

  Si desea ver el procedimiento detallado para impedir que un control se ejecute en Internet Explorer, consulte el artículo 240797 de Microsoft Knowledge Base. Siga estos pasos para crear un valor de indicadores de compatibilidad en el Registro para evitar que se ejecute RSClientPrint en Internet Explorer.

  Pegue el texto siguiente en un editor de texto como Bloc de notas. A continuación, guarde el archivo con la extensión de nombre de archivo .reg.

  Editor del Registro de Windows versión 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  Puede aplicar este archivo .reg a sistemas individuales si hace doble clic en él. También puede aplicarlo entre dominios mediante Directiva de grupo. Para obtener más información acerca de directivas de grupo, consulte los siguientes sitios web de Microsoft:

  • Colección de directivas de grupo
  • ¿Qué es el editor de objetos de directiva de grupo?
  • Configuración y herramientas básicas de directiva de grupo

  Nota Debe reiniciar Internet para que los cambios surtan efecto.

  Consecuencias de la solución provisional. No hay consecuencias siempre que el objeto no esté diseñado para utilizarse en Internet Explorer.

  Cómo deshacer la solución provisional.

  Pegue el texto siguiente en un editor de texto como Bloc de notas. A continuación, guarde el archivo con la extensión de nombre de archivo .reg.

  Editor del Registro de Windows versión 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  Puede aplicar este archivo .reg a sistemas individuales si hace doble clic en él. También puede aplicarlo entre dominios mediante Directiva de grupo. Para obtener más información acerca de directivas de grupo, consulte los siguientes sitios web de Microsoft:

  • Colección de directivas de grupo
  • ¿Qué es el editor de objetos de directiva de grupo?
  • Configuración y herramientas básicas de directiva de grupo

  Nota Debe reiniciar Internet para que los cambios surtan efecto.

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cuál es la causa de esta vulnerabilidad?  
Esta vulnerabilidad se debe a un cálculo incorrecto de la memoria necesaria para analizar un procesamiento de PNG por GDI+.

¿Para qué puede usar un atacante esta vulnerabilidad?  
Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante podría lograr el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Un atacante podría alojar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. También puede tratarse de sitios web vulnerables y sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por tanto, tendría que atraerlos al sitio web; por lo general, incitándoles a hacer clic en un vínculo de un mensaje de correo electrónico o en una petición de Instant Messenger que lleven a los usuarios al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Para que se produzca una acción de este tipo, esta vulnerabilidad requiere que el usuario haya iniciado la sesión esté leyendo mensajes de correo electrónico, visitando sitios Web o abriendo archivos en un recurso compartido de red. Por lo tanto, cualquier sistema en el que se lean los mensajes de correo electrónico, se utilice Internet Explorer de forma habitual o los usuarios tengan acceso a recursos compartidos de red (como estaciones de trabajo y servidores de Terminal Server) está expuesto a esta vulnerabilidad. Los sistemas que no se suelen utilizar para visitar sitios web, como la mayoría de los sistemas de servidor, sufren un riesgo mínimo.

¿Cómo funciona esta actualización?  
La actualización elimina la vulnerabilidad al modificar la forma en que GDI+ calcula el tamaño necesario de un búfer al analizar una imagen PNG.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?  
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
• En el caso de un ataque basado en web, el intruso podría alojar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• La vulnerabilidad no se podría aprovechar automáticamente mediante el correo electrónico. Un usuario debe abrir un archivo adjunto a un mensaje de correo electrónico para que un ataque tenga éxito.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• No abra los archivos de Office que reciba de fuentes que no sean de confianza ni aquellos recibidos inesperadamente de fuentes de confianza. Esta vulnerabilidad se puede aprovechar si un usuario abre un archivo especialmente diseñado.

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado de forma remota. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cuál es la causa de esta vulnerabilidad?  
La vulnerabilidad se debe a la forma en que Microsoft Office analiza las tablas de propiedades de arte de Office al abrir un documento de Office especialmente diseñado.

¿Para qué puede usar un atacante esta vulnerabilidad?  
Un atacante que aprovechara esta vulnerabilidad podría ejecutar código arbitrario como el usuario que ha iniciado la sesión. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante podría lograr el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Esta vulnerabilidad requiere que un usuario abra un documento de Office especialmente diseñado con una versión afectada de Microsoft Office.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Los sistemas donde se usa Microsoft Office, incluidas las estaciones de trabajo y los servidores de Terminal Server, están más expuestos. Los servidores podrían correr un mayor riesgo si los administradores permiten a los usuarios iniciar sesión en los servidores y ejecutar programas. Sin embargo, las prácticas recomendadas desaconsejan permitir esto.

¿Cómo funciona esta actualización?  
Esta actualización elimina la vulnerabilidad al cambiar la manera en que Microsoft Office trata abre los documentos de Office especialmente diseñados.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?  
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
• En el caso de un ataque basado en web, el intruso podría alojar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• No abra los archivos de Office que reciba de fuentes que no sean de confianza ni aquellos recibidos inesperadamente de fuentes de confianza

  Esta vulnerabilidad se puede aprovechar si un usuario abre un archivo especialmente diseñado.

• Leer los correos electrónicos en texto sin formato

  Para protegerse del tipo de ataque mediante correo electrónico, lea los mensajes de correo electrónico en texto sin formato.

  Los usuarios de Microsoft Office Outlook 2002 que han aplicado Office XP Service Pack 1 o una versión posterior, y los usuarios de Microsoft Office Outlook Express 6 que han aplicado Internet Explorer 6 Service Pack 1 o una versión posterior pueden habilitar una característica para ver los mensajes de correo electrónico que no estén firmados digitalmente o que no estén cifrados sólo en texto sin formato.

  A los mensajes de correo electrónico firmados digitalmente o cifrados no les afecta esta configuración y pueden leerse en sus formatos originales. Para obtener más información acerca de cómo habilitar esta configuración en Outlook 2002, vea el artículo 307594 de Microsoft Knowledge Base.

  Para obtener más información acerca de esta configuración de Outlook Express 6, consulte el artículo 291387 de Microsoft Knowledge Base.

  Consecuencias de la solución provisional. Los mensajes vistos como texto sin formato no contienen imágenes, fuentes especiales, animaciones o contenido enriquecido. Además:

  • Los cambios se aplican al panel de vista previa y a los mensajes abiertos.
  • Las imágenes se conservan como archivos adjuntos.
  • Como el formato del mensaje sigue siendo de texto enriquecido o HTML en el almacén, el modelo de objetos (soluciones de código personalizado) puede comportarse inesperadamente.

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cuál es la causa de esta vulnerabilidad?  
Cuando un usuario abre un archivo de Office especialmente diseñado que contiene un BMP especialmente diseñado, se puede alterar la memoria del sistema de forma tal que un atacante podría ejecutar código arbitrario.

¿Para qué puede usar un atacante esta vulnerabilidad?  
Un atacante que aprovechara esta vulnerabilidad podría ejecutar código arbitrario como el usuario que ha iniciado la sesión. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante podría lograr el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
En el supuesto de un ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad enviando a los usuarios de Outlook un correo electrónico especialmente diseñado o un documento de Office especialmente diseñado y convenciéndoles de que abra el archivo o lea el mensaje.

En el caso de un ataque a través de web, el atacante tendría que alojar un sitio web que contuviera un documento de Office destinado a intentar aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido proporcionado por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. El atacante no podría obligar a los usuarios a visitar un sitio web especialmente diseñado. Por lo tanto, tendría que atraerlos al sitio web; para ello debería, por ejemplo, incitarles a hacer clic en un vínculo que les llevara al sitio web del atacante.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Los sistemas donde se usa el software afectado, incluidas las estaciones de trabajo y los servidores de Terminal Server, son los más expuestos. Los servidores podrían correr un mayor riesgo si los administradores permiten a los usuarios iniciar sesión en los servidores y ejecutar programas. Sin embargo, las prácticas recomendadas desaconsejan permitir esto.

¿Cómo funciona esta actualización?  
La actualización elimina la vulnerabilidad al modificar la manera en que Microsoft Office abre los archivos especialmente diseñados.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?  
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Nota Para versiones compatibles de Microsoft Windows XP Professional x64 Edition, esta actualización de seguridad es la misma que la actualización de seguridad de Windows Server 2003 x64 Edition.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.