Boletín de seguridad de Microsoft MS11-100 - Crítica

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• De forma predeterminada, IIS no está habilitado en ningún sistema operativo Windows
• Los sitios que no permiten los tipos de contenido application/x-www-form-urlencoded o multipart/form-data HTTP no son vulnerables
• De forma predeterminada, no se instala ASP.NET cuando se instala .NET Framework. Solo los clientes que instalen y habiliten manualmente ASP.NET tienen más probabilidad de ser vulnerables a este problema.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Solución provisional basada en configuración

  La siguiente solución provisional configura el límite de tamaño de solicitud máximo que ASP.NET aceptará de un cliente. La reducción del tamaño de solicitud máximo reduce la susceptibilidad del servidor ASP.NET a un ataque de denegación de servicio.

  Nota: realice una copia de seguridad de la configuración antes de realizar cambios en ella.

  Este valor de configuración se puede aplicar globalmente a todos los sitios ASP.NET de un servidor mediante la adición de la entrada al archivo web.config o applicationhost.config raíz. Esta configuración también se puede restringir a un determinado sitio o aplicación si se agrega a un archivo web.config del sitio o aplicación concreto. Para obtener más información acerca de la configuración de ASP.NET, consulte el artículo MSDN Descripción general de la configuración de ASP.NET.

  1. Si su aplicación usa ViewState, agregue la siguiente configuración en el archivo de configuración ASP.NET correspondiente para limitar el tamaño de la solicitud que aceptará ASP.NET de un cliente a 200 KB.<configuration>  <system.web>  <httpRuntime maxRequestLength="200”/>  </system.web></configuration>
  2. Si su aplicación no usa ViewState de ASP.NET, agregue la siguiente configuración en el archivo de configuración ASP.NET correspondiente para limitar el tamaño de la solicitud que aceptará ASP.NET de un cliente a 20 KB.<configuration>  <system.web>  <httpRuntime maxRequestLength="20”/>  </system.web></configuration>

  Para obtener más información acerca de la opción de configuración maxRequestLength, consulte la documentación de MSDN sobre el elemento httpRuntime.

  Nota: el incremento del tamaño predeterminado de la cadena de consulta HTTP y del encabezado de solicitud aumentará la susceptibilidad del servidor al problema de denegación de servicio descrito en este documento informativo. Para obtener más información acerca de cómo establecer estos límites, vea Configuración del Registro de Http.sys para IIS.

  Consecuencias de la solución provisional: Las solicitudes de cliente que superen el valor de maxRequestLength configurado darán como resultado una excepción ConfigurationErrorsException en el lado servidor y se devolverá un estado de error http al cliente. Los límites configurados anteriormente se deben usar como base y se pueden ajustar para evitar errores de aplicación. La configuración del valor maxRequestLength con un valor menor también reduce la susceptibilidad del servidor a esta denegación de servicio concreta. Las aplicaciones que aceptan cargas de archivo de cliente y las que generan un estado de vista grande son ejemplos de aplicaciones que se pueden ver afectadas por esta solución provisional.

  Después de aplicar esta solución provisional, puede aparecer el siguiente error de solicitud de cliente en el registro de eventos de aplicación.

  Código de evento: 3004 Mensaje de evento: El tamaño de publicación superó los límites permitidos. Información de excepción:     Tipo de excepción: HttpException     Mensaje de excepción: Se superó la longitud de solicitud máxima.   en System.Web.HttpRequest.GetEntireRawContent()   en System.Web.HttpRequest.FillInFormCollection()   en System.Web.HttpRequest.get_Form()   en System.Web.HttpRequest.get_HasForm()   en System.Web.UI.Page.GetCollectionBasedOnMethod(Boolean dontReturnNull)   en System.Web.UI.Page.DeterminePostBackMode()   en System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint)

  El error de solicitud también puede producir la siguiente entrada en el archivo de registro de IIS.

  #Campos: s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status time-taken 127.0.0.1 POST /webSite/Default.aspx - 80 - 127.0.0.1 - 500 0 0 1268

  Eliminación de la solución provisional: Para deshacer la solución provisional, elimine las secciones de configuración que se agregaron en esta solución provisional o revierta a una copia de seguridad de la configuración anterior a las soluciones provisionales.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de denegación de servicio. Esta vulnerabilidad permite a un atacante no autenticado deteriorar el rendimiento de un sitio ASP.NET, creando una condición de denegación de servicio.

¿Cuál es la causa de esta vulnerabilidad? 
La vulnerabilidad se debe a la forma en que ASP.NET crea los valores hash de las solicitudes especialmente diseñadas e inserta dichos datos en una tabla hash, lo que provoca una colisión de hash. Cuando se encadenan muchas de estas colisiones, el rendimiento de la tabla hash se deteriora considerablemente, lo que provoca una condición de denegación de servicio.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante podría usar esta vulnerabilidad para provocar un ataque de denegación de servicio e interrumpir la disponibilidad de los sitios que usan ASP.NET.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante no autenticado podría enviar un número reducido de solicitudes ASP.NET especialmente diseñadas a un sitio ASP.NET afectado, lo que provoca una condición de denegación de servicio.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas con acceso a Internet con ASP.NET instalado están más expuestos a esta vulnerabilidad. Además, los sitios web internos que usan la autenticación de formularios de ASP.NET pueden estar expuestos a esta vulnerabilidad.

¿Cómo funciona esta actualización? 
La actualización corrige esta vulnerabilidad al modificar la forma en que .NET Framework trata las solicitudes especialmente diseñadas.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
Sí. Esta vulnerabilidad ya se ha divulgado públicamente. Se le ha asignado el número de vulnerabilidad y exposición común CVE-2011-3414.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

¿Se trata de un problema del sector?
Los ataques que se dirigen a este tipo de vulnerabilidad se denominan de forma genérica "ataques de colisión de hash". Los ataques de este tipo no son específicos de las tecnologías de Microsoft y afectan a otros proveedores de software de servicios web. Los clientes deben ponerse en contacto con sus proveedores de plataforma web para obtener instrucciones o actualizaciones.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• Esta vulnerabilidad no permitirá al atacante ejecutar código o elevar directamente sus derechos de usuario, pero podría servir para producir información útil que pudiera usarse para tratar de sacar más provecho de la información de usuario.
• De forma predeterminada, la instalación de ASP.NET no habilita la autenticación de formularios. Para habilitarse, se tiene que configurar explícitamente por aplicación.
• De forma predeterminada, no se instala IIS.
• De forma predeterminada, no se instala ASP.NET cuando se instala .NET Framework. Solo los clientes que instalen y habiliten manualmente ASP.NET tienen más probabilidad de ser vulnerables a este problema.
• El atacante tendría que convencer el usuario para que hiciera clic en un vínculo con el fin de aprovechar la vulnerabilidad.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Deshabilitar la autenticación de formularios en web.config
  1. Abra la aplicación o el archivo web.config global después de realizar una copia de seguridad
  2. Establezca el modo de autenticación en Windows, Passport o None.<system.web>  <authentication mode="Windows | Passport | None" /></system.web>Los detalles de cada modo se pueden encontrar en Cómo deshacer la solución provisional.Restaure el archivo web.config de la copia de seguridad.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de suplantación de identidad. Esta vulnerabilidad podría permitir a un atacante redireccionar un usuario a un sitio web que eligiera el atacante sin conocimiento del usuario. El atacante podría realizar un ataque de suplantación de identidad para obtener información del usuario que no tiene intención de divulgar. Esta vulnerabilidad no permitiría a un atacante ejecutar código o elevar sus derechos de usuario directamente, sino que se podría usar para poner en peligro la información del usuario que debe permanecer privada.

¿Qué es la suplantación de identidad? 
La suplantación de identidad en línea es una técnica para que los usuarios de equipos revelen sus datos personales o financieros en un mensaje de correo electrónico o un sitio web fraudulento. Una estafa de suplantación de identidad en línea habitual comienza con un mensaje de correo electrónico que parece un aviso oficial de una fuente de confianza, como un banco, una compañía de tarjeta de crédito o un comerciante en línea acreditado. En el mensaje de correo electrónico, los usuarios se redireccionan a un sitio web fraudulento donde se les pide que proporcionen información personal, como un número de cuenta o la contraseña. Esta información se suele usar para el robo de identidad.

¿Cuál es la causa de esta vulnerabilidad? 
Esta vulnerabilidad se debe a que .NET Framework comprueba incorrectamente las direcciones URL de devolución durante el proceso de autenticación de formularios.

¿Qué es la autenticación de formularios en ASP.NET? 
La autenticación de formularios usa un vale de autenticación que se crea cuando un usuario inicia sesión en un sitio y, a continuación, realiza el seguimiento del usuario por todo el sitio. El vale de autenticación del formulario normalmente se encuentra en una cookie. No obstante, ASP.NET versión 2.0 admite la autenticación de formularios sin cookies, lo que da como resultado que el vale se pase en una cadena de consulta. Para obtener más información, vea el siguiente de MSDN, Explicación: Autenticación de formularios en ASP.NET 2.0.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que consiguiera aprovechar esta vulnerabilidad podría redireccionar un usuario a un sitio web que eligiera el atacante sin conocimiento del usuario. Esta vulnerabilidad no permitiría a un atacante ejecutar código o elevar sus derechos de usuario directamente, sino que se podría usar para poner en peligro la información del usuario que debe permanecer privada.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría crear una dirección URL especialmente diseñada y convencer a un usuario de que haga clic en ella. Después de que un usuario inicie sesión en un sitio web previsto, el atacante lo redirecciona a un sitio web controlado por él. Después, el atacante podría convencer al usuario para que divulgara información diseñada para ser privada. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente al hacer clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante después de iniciar sesión en un sitio web previsto.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas con acceso a Internet con ASP.NET instalado están más expuestos a esta vulnerabilidad. Además, los sitios web internos que usan la autenticación de formularios de ASP.NET pueden estar expuestos a esta vulnerabilidad.

¿Cómo funciona esta actualización? 
La actualización corrige esta vulnerabilidad al modificar la forma en que .NET Framework comprueba las direcciones URL de devolución durante la autenticación de formularios.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• El atacante debe poder registrar una cuenta en la aplicación ASP.NET y debe conocer un nombre de usuario existente.
• De forma predeterminada, la instalación de ASP.NET no habilita la autenticación de formularios. Para habilitarse, se tiene que configurar explícitamente por aplicación.
• De forma predeterminada, no se instala IIS.
• De forma predeterminada, no se instala ASP.NET cuando se instala .NET. Solo los clientes que instalen y habiliten manualmente ASP.NET tienen más probabilidad de ser vulnerables a este problema.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Establezca ticketCompatibilityMode en Framework40

  Esto solo se aplica a los sitios que ejecutan ASP.NET 4 y posterior debido a que la configuración ticketCompatibilityMode se presentó en ASP.NET v4.0.

  1. Abra la aplicación o el archivo web.config global después de realizar una copia de seguridad
  2. Establezca ticketCompatibilityMode en Framework40. Tenga en cuenta que el valor predeterminado de esta configuración es "Framework20"<system.web>  <authentication mode="Forms">    <forms ticketCompatibilityMode="Framework40" />  </authentication></system.web>

  Cómo deshacer la solución provisional.

  Restaure el archivo web.config de la copia de seguridad.

• Deshabilitar la autenticación de formularios en web.config
  1. Abra la aplicación o el archivo web.config global después de realizar una copia de seguridad
  2. Establezca el modo de autenticación en Windows, Passport o None.<system.web>  <authentication mode="Windows | Passport | None" /></system.web>Los detalles de cada modo se pueden encontrar en Cómo deshacer la solución provisional.Restaure el archivo web.config de la copia de seguridad.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de elevación de privilegios en la que un usuario no autenticado remoto puede obtener acceso a otra cuenta en la aplicación ASP.NET, lo que le permite ejecutar comandos arbitrarios en el sitio en el contexto del usuario de destino.

¿Cuál es la causa de esta vulnerabilidad? 
Esta vulnerabilidad se debe a que ASP.NET Framework autentica incorrectamente los nombres de usuario especialmente diseñados.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que consiguiera aprovechar esta vulnerabilidad podría realizar cualquier acción en el contexto del usuario de destino, incluida la ejecución de comandos arbitrarios en el sitio.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Para aprovechar esta vulnerabilidad, un atacante no autenticado primero debería conocer un nombre de cuenta existente para realizar la suplantación en el sitio. A continuación, el atacante podría diseñar una solicitud web especial mediante un nombre de cuenta registrado anteriormente para obtener acceso a dicha cuenta. El atacante podría realizar cualquier acción en el contexto del usuario de destino, incluida la ejecución de comandos arbitrarios en el sitio.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas con acceso a Internet con ASP.NET instalado están más expuestos a esta vulnerabilidad. Además, los sitios web internos que usan la autenticación de formularios de ASP.NET pueden estar expuestos a esta vulnerabilidad.

Si mi sitio web usa una granja web, ¿debo actualizar todos los equipos de la granja web? 
Sí. Esta actualización cambia el formato del vale de autenticación de formularios de una forma que es incompatible con el formato anterior. Esto significa que los equipos que usen el comportamiento anterior no pueden leer los vales generados con el nuevo comportamiento, y viceversa. Los administradores cuyas aplicaciones usen la autenticación basada en formularios deben realizar pasos específicos al implementar esta actualización a fin de asegurarse de que todos sus servidores cambian al nuevo comportamiento simultáneamente.

Para obtener más información, vea el artículo 2659968 de Microsoft TechNet.

¿ Es posible actualizar los equipos de mi granja web de uno en uno en vez de hacerlos todos a la vez? 
Sí. Si no es factible implementar MS11-100 en todos los servidores en una determinada granja web simultáneamente, puede establecer un parámetro de compatibilidad en el archivo web.config o machine.config antes de instalar la actualización a fin de forzar el comportamiento anterior después de que se instale la actualización. El parámetro de compatibilidad que se debe usar es el siguiente:

<appSettings>  <add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" /></appSettings>

La configuración de este parámetro permitirá que las granjas web con solo algunos equipos se actualicen para seguir funcionando correctamente. No obstante, es importante saber que los equipos con el parámetro de configuración establecido se encontrarán en un estado no seguro y no se beneficiarán de la corrección de esta actualización de seguridad. Después de haber implementado MS11-100 en todos los equipos de una granja, el parámetro de configuración se debe quitar para habilitar el nuevo comportamiento seguro.

¿Esta actualización aceptará la configuración ticketCompatibilityMode de la autenticación de formularios de mi sitio? 
No. Debido a que la corrección de esta actualización de seguridad cambia el formato de los vales de autenticación de formularios, la opción de configuración ticketCompatibilityMode ya no se admite una vez que se instala MS11-100.

¿Cómo funciona esta actualización? 
La actualización corrige esta vulnerabilidad al modificar la forma en que .NET Framework autentica a los usuarios.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• De forma predeterminada, OutputCache no almacena en caché las respuestas de ASP.NET. El desarrollador del sitio tiene que habilitar la salida en caché mediante la directiva OutputCache en una página.
• Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario de destino. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
• De forma predeterminada, IIS no se instala en ninguna versión de sistema operativo afectada. Solo los clientes que lo instalen manualmente pueden ser vulnerables a este problema.
• De forma predeterminada, no se instala ASP.NET cuando se instala .NET. Solo los clientes que instalen y habiliten manualmente ASP.NET tienen más probabilidad de ser vulnerables a este problema.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Restringir las cookies de autenticación de formularios a los canales SSL

  Abra la aplicación o el archivo web.config global después de realizar una copia de seguridad.

  Establezca requireSSL="true" en el elemento <forms>, tal como se muestra en el siguiente código.

  <forms loginUrl="Secure\Login.aspx"    requireSSL="true" />

  Cómo deshacer la solución provisional.

  Restaure el archivo web.config de la copia de seguridad.

• Deshabilitar la expiración deslizante para las cookies de autenticación de formularios
  1. Abra la aplicación o el archivo web.config global después de realizar una copia de seguridad
  2. Establezca slidingExpiration="false" en el elemento <forms>, tal como se muestra en el siguiente código.<forms slidingExpiration="false"/>

  Consecuencias de la solución provisional. Se obligaría a los usuarios a volver a iniciar sesión después de que expiren sus vales.

  Cómo deshacer la solución provisional.

  Restaure el archivo web.config de la copia de seguridad.

• Deshabilitar OutputCache
  1. Realice una copia de seguridad de la carpeta web.
  2. Quite todas las directivas <%@ OutputCache %> de las páginas web.
  3. Si si sitio web es una aplicación MVC, quite también todos los atributos OutputCache de las acciones del controlador.

  Consecuencias de la solución provisional. Se obligaría a los usuarios a volver a iniciar sesión después de que expiren sus vales.

  Cómo deshacer la solución provisional.

  Restaure la carpeta de aplicación web.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de elevación de privilegios en la que un atacante no autenticado remoto obtiene acceso a otra cuenta en la aplicación .NET.

¿Cuál es la causa de esta vulnerabilidad? 
Esta vulnerabilidad se debe que .NET Framework trata incorrectamente el contenido en caché cuando se usa la autenticación de formularios con expiración deslizante.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que consiguiera aprovechar esta vulnerabilidad podría realizar cualquier acción que pudiera realizar el usuario en el contexto del usuario de destino, incluida la ejecución de comandos arbitrarios.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
En el supuesto de un ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad enviando al usuario un vínculo especialmente diseñado y convenciéndole de que haga clic en él. El atacante no podría obligar a los usuarios a visitar el sitio web. Por lo tanto, tendría que convencerlo; por lo general, para que realice una acción, como hacer clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger.

¿Qué es la autenticación de formularios en ASP.NET? 
La autenticación de formularios usa un vale de autenticación que se crea cuando un usuario inicia sesión en un sitio y, a continuación, realiza el seguimiento del usuario por todo el sitio. El vale de autenticación del formulario normalmente se encuentra en una cookie. No obstante, ASP.NET versión 2.0 admite la autenticación de formularios sin cookies, lo que da como resultado que el vale se pase en una cadena de consulta. Para obtener más información, vea el siguiente de MSDN, Explicación: Autenticación de formularios en ASP.NET 2.0.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas con acceso a Internet con IIS y ASP.NET instalados están más expuestos a esta vulnerabilidad. Además, los sitios web internos que usan la autenticación de formularios de ASP.NET pueden estar expuestos a esta vulnerabilidad.

¿Cómo funciona esta actualización? 
La actualización corrige la forma en que ASP.NET trata el contenido en caché.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Nota La actualización de las versiones compatibles de Windows XP Professional x64 Edition también se aplica a las versiones compatibles de Windows Server 2003 x64 Edition.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Nota La actualización de las versiones compatibles de Windows Server 2003 x64 Edition también se aplica a las versiones compatibles de Windows XP Professional x64 Edition.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.