Boletín de seguridad de Microsoft MS10-035 - Crítica

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En el caso de un ataque basado en web, el intruso podría alojar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos, que deshabilita las secuencias de comandos y los controles ActiveX, con lo que se quita el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en Web.
• De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo establece el nivel de seguridad para la zona Internet en Alto. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer. Vea la subsección P+F correspondiente a esta sección de vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.
• El uso de Windows Internet Explorer 7 e Internet Explorer 8 en Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2 mitiga los efectos de esta vulnerabilidad.
• El modo protegido en Windows Vista y sistemas operativos posteriores contribuye a evitar que se aproveche este problema.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, siga estos pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios Web que visite en Alta.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para utilizar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de utilizar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet utilizan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona Sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir utilizando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estos pasos:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estos pasos:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para utilizar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de utilizar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet utilizan secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona Sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir utilizando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estos pasos:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Habilitar el bloqueo de protocolo de red para el protocolo "file"

  Internet Explorer se puede configurar para bloquear el contenido de determinados protocolos de red en zonas adicionales aparte de la zona Equipo local. Esta característica permite a un administrador extender las mismas restricciones del bloqueo de zona Equipo local para que se aplique a cualquier protocolo arbitrario de cualquier zona de seguridad.

  Advertencia Si utiliza el Editor del Registro incorrectamente, puede provocar problemas graves que conlleven la reinstalación del sistema operativo. Microsoft no puede garantizar que pueda resolver los problemas derivados del uso incorrecto del Editor del Registro. El uso del Editor del Registro es responsabilidad suya.

  Para usar el bloqueo de protocolo de red a fin de bloquear el protocolo "file", pegue el siguiente texto en un editor de textos como el Bloc de notas. A continuación, guarde el archivo con la extensión de nombre de archivo .reg.

  Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_PROTOCOL_LOCKDOWN]"explorer.exe"=dword:00000001"iexplore.exe"=dword:00000001"*"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\RestrictedProtocols][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\RestrictedProtocols\1]"file"="file"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\RestrictedProtocols\3]"file"="file"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\RestrictedProtocols\4]"file"="file"

  Puede aplicar este archivo .reg a sistemas individuales si hace doble clic en él. También puede aplicarlo entre dominios mediante Directiva de grupo. Para obtener más información acerca de directivas de grupo, consulte los siguientes sitios web de Microsoft:

  • Colección de directivas de grupo
  • ¿Qué es el editor de objetos de directiva de grupo?
  • Configuración y herramientas básicas de directiva de grupo

  Consecuencias de la solución provisional. El protocolo "file" se bloqueará.

  Cómo deshacer la solución provisional.

  Para anular el bloqueo del protocolo "file", pegue el siguiente texto en un editor de textos como el Bloc de notas. A continuación, guarde el archivo con la extensión de nombre de archivo .reg.

  Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_PROTOCOL_LOCKDOWN]"explorer.exe"=dword:00000000"iexplore.exe"=dword:00000000[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\RestrictedProtocols]

  Puede aplicar este archivo .reg a sistemas individuales si hace doble clic en él. También puede aplicarlo entre dominios mediante Directiva de grupo.

• Habilitar el bloqueo de protocolo de red para el protocolo "file" mediante la solución Microsoft Fix It automática

  Vea el artículo 980088 de Microsoft Knowledge Base para usar la solución Microsoft Fix it automática para habilitar o deshabilitar esta solución provisional.

  Consecuencias de la solución provisional. El contenido HTML de las rutas de acceso UNC en las zonas Internet / Intranet local / Restringido ya no ejecutará automáticamente secuencias de comandos ni controles ActiveX.

¿Cuál es el alcance de esta vulnerabilidad? 
Esta vulnerabilidad afecta a la divulgación de información. Un atacante que aproveche la vulnerabilidad cuando un usuario visita una página web podría ver el contenido del equipo local o de una ventana de explorador en un dominio o zona de Internet Explorer distintos del dominio o zona de la página web del atacante.

¿Cuál es la causa de esta vulnerabilidad? 
Internet Explorer almacena en caché los datos y permite incorrectamente que el contenido en caché se represente como HTML, lo que podría saltarse la restricción de dominio de Internet Explorer.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que consiga aprovechar esta vulnerabilidad podría ver el contenido del equipo local o una ventana de explorador en otro dominio o zona de Internet Explorer.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría alojar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Para que se produzca una acción malintencionada, esta vulnerabilidad requiere que el usuario haya iniciado una sesión y visite un sitio web. Por lo tanto, cualquier sistema en el que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, está expuesto a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003 o Windows Server 2008. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer. Consulte también la guía de administración de la configuración de seguridad mejorada de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización modifica la forma en que Internet Explorer trata el contenido en caché.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
Sí. Esta vulnerabilidad ya se ha divulgado públicamente. Tiene asignado el número de vulnerabilidad y exposición común CVE-2010-0255. Esta vulnerabilidad se describió por primera vez en el documento informativo sobre seguridad de Microsoft 980088.

He implementado la solución provisional del documento informativo sobre seguridad de Microsoft 980088 para habilitar el bloqueo de protocolo de red para el protocolo "file". ¿Debo deshabilitar esta solución provisional antes de instalar esta actualización de seguridad? 
Sí. Microsoft recomienda que antes de instalar esta actualización de seguridad, deshaga esta solución provisional en los sistemas donde se haya aplicado anteriormente.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido información que indicara que esta vulnerabilidad se hubiera usado para atacar a clientes y no tenía constancia de que se hubiera publicado código de prueba de concepto.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• Sólo los sitios web que usan la API toStaticHTML pueden estar afectados.
• Sólo afecta al modo de representación Quirk en Internet Explorer 8.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, siga estos pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios Web que visite en Alta.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para utilizar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de utilizar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet utilizan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona Sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir utilizando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estos pasos:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estos pasos:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para utilizar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de utilizar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet utilizan secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona Sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir utilizando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estos pasos:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

¿Cuál es el alcance de esta vulnerabilidad? 
Esta vulnerabilidad afecta a la divulgación de información. Un atacante que aprovechara la vulnerabilidad cuando un usuario visita una página web que usa la API toStaticHTML podría aplicar secuencias de comandos de sitios en el usuario.

¿Cuál es la causa de esta vulnerabilidad? 
La vulnerabilidad se debe a la forma en que Internet Explorer trata el contenido que usa cadenas específicas en el saneamiento de HTML.

¿Qué es la API de toStaticHTML? 
La API toStaticHTML se puede usar para quitar atributos de evento y secuencias de comandos de la entrada de usuario antes de mostrarla como HTML. Para obtener más información, vea el artículo de MSDN Library Método toStaticHTML.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que aprovechara esta vulnerabilidad cuando un usuario ve código HTML en un sitio web que Internet Explorer no ha saneado correctamente, podría ejecutar secuencias de comandos en el contexto de seguridad de un usuario contra un sitio.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría alojar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente al hacer clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Para que se produzca una acción malintencionada, esta vulnerabilidad requiere que el usuario haya iniciado una sesión y visite un sitio web. Por lo tanto, cualquier sistema en el que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, está expuesto a esta vulnerabilidad.

¿Cómo funciona esta actualización? 
La actualización modifica la forma en que Internet Explorer trata el saneamiento HTML mediante toStaticHTML.

¿Esta vulnerabilidad está relacionada con CVE-2010-1257 en MS10-039, Vulnerabilidades en Microsoft SharePoint podrían permitir la elevación de privilegios (2028554)? 
Sí, la vulnerabilidad de divulgación de información de toStaticHTML, CVE-2010-1257, también afecta a Microsoft SharePoint.

¿Es necesario instalar ambas actualizaciones para estar protegidos de la vulnerabilidad? 
No, cada actualización corrige una aplicación. Sólo se debe aplicar la actualización que corresponde al software que se ejecuta en el sistema.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido información que indicara que esta vulnerabilidad se hubiera usado para atacar a clientes y no tenía constancia de que se hubiera publicado código de prueba de concepto.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En el caso de un ataque basado en web, el intruso podría alojar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos, que deshabilita las secuencias de comandos y los controles ActiveX, con lo que se quita el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en Web.
• De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo establece el nivel de seguridad para la zona Internet en Alto. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer. Vea la subsección P+F correspondiente a esta sección de vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Habilitar o deshabilitar los controles ActiveX en Office 2007

  Para reducir la posibilidad de que esta vulnerabilidad se aproveche mediante un documento de Office 2007 con un control ActiveX, siga estos pasos para deshabilitar los controles ActiveX en los documentos de Office. Para obtener más información acerca de cómo deshabilitar los controles ActiveX en Office 2007, vea el artículo de Microsoft Office Online Habilitar o deshabilitar los controles ActiveX en documentos de Office.

  Abra el Centro de confianza en las aplicaciones de Office 2007 mediante uno de los siguientes métodos. Después de seleccionar Configuración de ActiveX, seleccione Deshabilitar todos los controles sin notificación y, a continuación, haga clic en Aceptar.

  Nota Si cambia una configuración de control ActiveX en una aplicación de Office, la configuración también se cambia en los demás programas de Office en el equipo.

  Excel

  Haga clic en el botón Microsoft Office, seleccione Opciones de Excel, Centro de confianza, Configuración del Centro de confianza y, a continuación, Configuración de ActiveX.

  Outlook

  En el menú Herramientas , seleccione Centro de confianza, Configuración del Centro de confianza y, a continuación, Configuración de ActiveX.

  PowerPoint

  Haga clic en el botón Microsoft Office, seleccione Opciones de PowerPoint, Centro de confianza, Configuración del Centro de confianza y, a continuación, Configuración de ActiveX.

  Word

  Haga clic en el botón Microsoft Office, seleccione Opciones de Word, Centro de confianza, Configuración del Centro de confianza y, a continuación, Configuración de ActiveX.

  Access

  Haga clic en el botón Microsoft Office, seleccione Opciones de Access, Centro de confianza, Configuración del Centro de confianza y, a continuación, Configuración de ActiveX.

  InfoPath

  En el menú Herramientas , seleccione Centro de confianza, Configuración del Centro de confianza y, a continuación, Configuración de ActiveX.

  Publisher

  En el menú Herramientas , seleccione Centro de confianza, Configuración del Centro de confianza y, a continuación, Configuración de ActiveX.

  Visio

  En el menú Herramientas , seleccione Centro de confianza, Configuración del Centro de confianza y, a continuación, Configuración de ActiveX.

  Consecuencias de la solución provisional. Los controles ActiveX no se ejecutarán en las aplicaciones de Microsoft Office.

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, siga estos pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios Web que visite en Alta.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para utilizar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de utilizar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet utilizan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona Sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir utilizando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estos pasos:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estos pasos:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para utilizar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de utilizar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet utilizan secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona Sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir utilizando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estos pasos:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• No abrir archivos inesperados

  No abra los archivos de Microsoft Office que reciba de fuentes que no sean de confianza ni aquellos recibidos inesperadamente de fuentes de confianza. Esta vulnerabilidad se puede aprovechar si un usuario abre un archivo especialmente diseñado.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de ejecución remota de código. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

¿Cuál es la causa de esta vulnerabilidad? 
Cuando Internet Explorer intenta obtener acceso a un objeto que no se ha inicializado o se ha eliminado, se puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario que ha iniciado sesión.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que un usuario que ha iniciado sesión. Si el usuario inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría alojar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. Un atacante también podría insertar un control ActiveX marcado como "seguro para inicialización" en una aplicación o un documento de Microsoft Office que aloje el motor de representación de IE. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente al hacer clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Para que se produzca una acción malintencionada, esta vulnerabilidad requiere que el usuario haya iniciado una sesión y visite un sitio web. Por lo tanto, cualquier sistema en el que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, está expuesto a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003 o Windows Server 2008. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer. Consulte también la guía de administración de la configuración de seguridad mejorada de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al modificar la manera en que Internet Explorer trata los objetos en memoria.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido información que indicara que esta vulnerabilidad se hubiera usado para atacar a clientes y no tenía constancia de que se hubiera publicado código de prueba de concepto.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En el caso de un ataque basado en web, el intruso podría alojar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
• La intervención del usuario es necesaria para aprovechar esta vulnerabilidad. El usuario debe presionar la tecla F12 como respuesta a una solicitud en un sitio web especialmente diseñado.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Deshabilitar el componente IEDTViewSource

  Deshabilite el componente IEDTViewSource para bloquear la visualización del código fuente de la página web a través de la herramienta de desarrollo de IE.

  Cree una copia de seguridad de las claves del Registro con el siguiente comando desde un símbolo del sistema con privilegios elevados:

  Regedit.exe /e Disable_DT_ViewSource_backup.reg HKEY_CLASSES_ROOT\CLSID\{8fe85d00-4647-40b9-87e4-5eb8a52f4759}

  Para Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2, tome la propiedad de [HKEY_CLASSES_ROOT\CLSID\{8fe85d00-4647-40b9-87e4-5eb8a52f4759}], del siguiente modo:

  1. Como administrador, haga clic en Inicio, haga clic en Ejecutar, en el cuadro Abrir escriba Regedit y, a continuación, haga clic en Aceptar.
  2. Vaya a [HKEY_CLASSES_ROOT\CLSID\{8fe85d00-4647-40b9-87e4-5eb8a52f4759}].
  3. Haga clic en Permiso, en Opciones avanzadas y en Propietario.
  4. Cambie Propietario a Administrador.
  5. Haga clic en Conceder control total al administrador.
  6. A continuación, recorra todas las subclaves.

  Después, guarde lo siguiente en un archivo con la extensión .REG, por ejemplo Disable_DT_ViewSource.reg:

  Windows Registry Editor Version 5.00[-HKEY_CLASSES_ROOT\CLSID\{8fe85d00-4647-40b9-87e4-5eb8a52f4759}]

  Ejecute Disable_DT_ViewSource.reg con el comando siguiente en el símbolo del sistema con privilegios elevados:

  Regedit.exe /s Disable_DT_ViewSource.reg

  Consecuencias de la solución provisional. No se podrá usar la funcionalidad de la herramienta de desarrollo de IE para ver el código fuente. En su lugar, Internet Explorer usa el Bloc de notas para ver el código fuente.

  Cómo deshacer la solución provisional.Restaure el estado original; para ello, ejecute el siguiente comando en el símbolo del sistema con privilegios elevados:

  Regedit.exe /s Disable_DT_ViewSource_backup.reg

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de ejecución remota de código. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

¿Cuál es la causa de esta vulnerabilidad? 
Cuando Internet Explorer intenta obtener acceso a la memoria que se ha inicializado incorrectamente en determinadas condiciones, puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario que ha iniciado sesión.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que un usuario que ha iniciado sesión. Si el usuario inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría alojar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web y abra la barra de herramientas de desarrollo de IE8. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente al hacer clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.

Uso la barra de herramientas de desarrollo para Internet Explorer 7. ¿Estoy afectado por este problema? 
La barra de herramientas de desarrollo para Internet Explorer 7 se ha actualizado para ofrecer protección frente a este problema. En el Centro de descarga de Microsoft hay disponible una barra de herramientas actualizada, Barra de herramientas de desarrollo de Internet Explorer.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Para que se produzca una acción malintencionada, esta vulnerabilidad requiere que el usuario haya iniciado una sesión y visite un sitio web. Por lo tanto, cualquier sistema en el que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, está expuesto a esta vulnerabilidad.

¿Cómo funciona esta actualización? 
La actualización modifica la forma en que Internet Explorer trata los objetos que están en la memoria.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido información que indicara que esta vulnerabilidad se hubiera usado para atacar a clientes y no tenía constancia de que se hubiera publicado código de prueba de concepto.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En el caso de un ataque basado en web, el intruso podría alojar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
• La intervención del usuario es necesaria para aprovechar esta vulnerabilidad. El usuario debe presionar la tecla F12 como respuesta a una solicitud en un sitio web especialmente diseñado.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Deshabilitar el componente IEDTExplorer

  Deshabilite el componente IEDTExplorer para bloquear la visualización del código fuente de la página web a través de la herramienta de desarrollo de IE.

  Cree una copia de seguridad de las claves del Registro con el siguiente comando desde un símbolo del sistema con privilegios elevados:

  Regedit.exe /e Disable_DT_Explorer_backup.reg HKEY_CLASSES_ROOT\CLSID\{1a6fe369-f28c-4ad9-a3e6-2bcb50807cf1}

  Para Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2, tome la propiedad de [HKEY_CLASSES_ROOT\CLSID\{1a6fe369-f28c-4ad9-a3e6-2bcb50807cf1}], del siguiente modo:

  1. Como administrador, haga clic en Inicio, haga clic en Ejecutar, en el cuadro Abrir escriba Regedit y, a continuación, haga clic en Aceptar.
  2. Vaya a [HKEY_CLASSES_ROOT\CLSID\{1a6fe369-f28c-4ad9-a3e6-2bcb50807cf1}]
  3. Haga clic en Permiso, en Opciones avanzadas y en Propietario.
  4. Propietario
  5. a Administrador.
  6. Haga clic en Conceder control total al administrador.
  7. A continuación, recorra todas las subclaves.

  Después, guarde lo siguiente en un archivo con la extensión .REG, por ejemplo Disable_DT_Explorer.reg:

  Windows Registry Editor Version 5.00[-HKEY_CLASSES_ROOT\CLSID\{1a6fe369-f28c-4ad9-a3e6-2bcb50807cf1}]

  Ejecute Disable_DT_Explorer.reg con el comando siguiente en el símbolo del sistema con privilegios elevados:

  Regedit.exe /s Disable_DT_Explorer.reg

  Consecuencias de la solución provisional. No se podrá usar la tecla de función F12 del Explorador de la herramienta de desarrollo de IE.

  Cómo deshacer la solución provisional. Restaure el estado original; para ello, ejecute el siguiente comando en el símbolo del sistema con privilegios elevados:

  Regedit.exe /s Disable_DT_Explorer_backup.reg

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de ejecución remota de código. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

¿Cuál es la causa de esta vulnerabilidad? 
Cuando Internet Explorer intenta obtener acceso a la memoria que se ha inicializado incorrectamente en determinadas condiciones, puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario que ha iniciado sesión.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que un usuario que ha iniciado sesión. Si el usuario inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría alojar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web y abra la barra de herramientas de desarrollo de IE8. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente al hacer clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Para que se produzca una acción malintencionada, esta vulnerabilidad requiere que el usuario haya iniciado una sesión y visite un sitio web. Por lo tanto, cualquier sistema en el que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, está expuesto a esta vulnerabilidad.

¿Cómo funciona esta actualización? 
La actualización modifica la forma en que Internet Explorer trata los objetos que están en la memoria.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido información que indicara que esta vulnerabilidad se hubiera usado para atacar a clientes y no tenía constancia de que se hubiera publicado código de prueba de concepto.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En el caso de un ataque basado en web, el intruso podría alojar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos, que deshabilita las secuencias de comandos y los controles ActiveX, con lo que se quita el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en Web.
• De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo establece el nivel de seguridad para la zona Internet en Alto. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer. Vea la subsección P+F correspondiente a esta sección de vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Habilitar o deshabilitar los controles ActiveX en Office 2007

  Para reducir la posibilidad de que esta vulnerabilidad se aproveche mediante un documento de Office 2007 con un control ActiveX, siga estos pasos para deshabilitar los controles ActiveX en los documentos de Office. Para obtener más información acerca de cómo deshabilitar los controles ActiveX en Office 2007, vea el artículo de Microsoft Office Online Habilitar o deshabilitar los controles ActiveX en documentos de Office.

  Abra el Centro de confianza en las aplicaciones de Office 2007 mediante uno de los siguientes métodos. Después de seleccionar Configuración de ActiveX, seleccione Deshabilitar todos los controles sin notificación y, a continuación, haga clic en Aceptar.

  Nota Si cambia una configuración de control ActiveX en una aplicación de Office, la configuración también se cambia en los demás programas de Office en el equipo.

  Excel

  Haga clic en el botón Microsoft Office, seleccione Opciones de Excel, Centro de confianza, Configuración del Centro de confianza y, a continuación, Configuración de ActiveX.

  Outlook

  En el menú Herramientas , seleccione Centro de confianza, Configuración del Centro de confianza y, a continuación, Configuración de ActiveX.

  PowerPoint

  Haga clic en el botón Microsoft Office, seleccione Opciones de PowerPoint, Centro de confianza, Configuración del Centro de confianza y, a continuación, Configuración de ActiveX.

  Word

  Haga clic en el botón Microsoft Office, seleccione Opciones de Word, Centro de confianza, Configuración del Centro de confianza y, a continuación, Configuración de ActiveX.

  Access

  Haga clic en el botón Microsoft Office, seleccione Opciones de Access, Centro de confianza, Configuración del Centro de confianza y, a continuación, Configuración de ActiveX.

  InfoPath

  En el menú Herramientas , seleccione Centro de confianza, Configuración del Centro de confianza y, a continuación, Configuración de ActiveX.

  Publisher

  En el menú Herramientas , seleccione Centro de confianza, Configuración del Centro de confianza y, a continuación, Configuración de ActiveX.

  Visio

  En el menú Herramientas , seleccione Centro de confianza, Configuración del Centro de confianza y, a continuación, Configuración de ActiveX.

  Consecuencias de la solución provisional. Los controles ActiveX no se ejecutarán en las aplicaciones de Microsoft Office.

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, siga estos pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios Web que visite en Alta.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para utilizar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de utilizar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet utilizan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona Sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir utilizando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estos pasos:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estos pasos:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para utilizar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de utilizar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet utilizan secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona Sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir utilizando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estos pasos:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• No abrir archivos inesperados

  No abra los archivos de Microsoft Office que reciba de fuentes que no sean de confianza ni aquellos recibidos inesperadamente de fuentes de confianza. Esta vulnerabilidad se puede aprovechar si un usuario abre un archivo especialmente diseñado.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de ejecución remota de código. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

¿Cuál es la causa de esta vulnerabilidad? 
Cuando Internet Explorer intenta obtener acceso a la memoria que se ha inicializado incorrectamente en determinadas condiciones, puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario que ha iniciado sesión.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que un usuario que ha iniciado sesión. Si el usuario inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría alojar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. Un atacante también podría insertar un control ActiveX marcado como "seguro para inicialización" en una aplicación o un documento de Microsoft Office que aloje el motor de representación de IE. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente al hacer clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Para que se produzca una acción malintencionada, esta vulnerabilidad requiere que el usuario haya iniciado una sesión y visite un sitio web. Por lo tanto, cualquier sistema en el que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, está expuesto a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003 o Windows Server 2008. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer. Consulte también la guía de administración de la configuración de seguridad mejorada de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización modifica la forma en que Internet Explorer trata los objetos que están en la memoria.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido información que indicara que esta vulnerabilidad se hubiera usado para atacar a clientes y no tenía constancia de que se hubiera publicado código de prueba de concepto.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Nota Para versiones compatibles de Microsoft Windows XP Professional x64 Edition, esta actualización de seguridad es la misma que la actualización de seguridad de Windows Server 2003 x64 Edition.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.