Boletín de seguridad de Microsoft MS12-027 - Crítica

Una vulnerabilidad en los controles comunes de Windows podría permitir la ejecución remota de código (2664258)

Publicado: | Actualizado:

Versión: 2.0

Información general

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado de forma privada en los controles comunes de Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita un sitio web que incluye contenido especialmente diseñado para aprovechar la vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a visitar un sitio web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante. El archivo malintencionado también se podría enviar como datos adjuntos de correo electrónico, pero el atacante tendría que convencer el usuario para que abriera los datos adjuntos con el fin de aprovechar la vulnerabilidad.

Esta actualización de seguridad se considera crítica para todo el software de Microsoft compatible que incluya los controles comunes de Windows en su instalación predeterminada. Esto incluye todas las ediciones compatibles de Microsoft Office 2003, Microsoft Office 2007, Microsoft Office 2010 (excepto las ediciones x64), Microsoft SQL Server 2000 Analysis Services, Microsoft SQL Server 2000 (excepto las ediciones con Itanium), Microsoft SQL Server 2005 (excepto Microsoft SQL Server 2005 Express Edition, pero se incluye Microsoft SQL Server 2005 Express Edition con Advanced Services), Microsoft SQL Server 2008, Microsoft SQL Server 2008 R2, Microsoft BizTalk Server 2002, Microsoft Commerce Server 2002, Microsoft Commerce Server 2007, Microsoft Commerce Server 2009, Microsoft Commerce Server 2009 R2, Microsoft Visual FoxPro 8.0, Microsoft Visual FoxPro 9.0 y Visual Basic 6.0 Runtime. Para obtener más información, consulte la subsección Software afectado y no afectado, en esta sección.

La actualización de seguridad corrige la vulnerabilidad al deshabilitar la versión vulnerable de los controles comunes de Windows y la reemplaza por una nueva que no contiene la vulnerabilidad. Para obtener más información acerca de la vulnerabilidad, consulte la subsección Preguntas más frecuentes (P+F) de la entrada de vulnerabilidad específica en la sección siguiente, Información sobre la vulnerabilidad.

Recomendación. Los clientes pueden configurar las actualizaciones automáticas para buscar en línea actualizaciones de Microsoft Update mediante el uso del servicio Microsoft Update. Los clientes que tienen habilitadas las actualizaciones automáticas y configuradas para buscar en línea actualizaciones de Microsoft Update normalmente no tienen que realizar ninguna acción porque esta actualización de seguridad se descargará e instalará automáticamente. Los clientes que no han habilitado las actualizaciones automáticas deben buscar las actualizaciones en Microsoft Update e instalar esta actualización manualmente. Para obtener información acerca de opciones de configuración específicas en las actualizaciones automáticas en ediciones compatibles de Windows XP y Windows Server 2003, vea el artículo 294871 de Microsoft Knowledge Base. Para obtener información acerca de las actualizaciones automáticas en las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2, vea Introducción a las actualizaciones automáticas de Windows.

Para administradores e instalaciones empresariales, o usuarios finales que deseen instalar esta actualización de seguridad manualmente, Microsoft recomienda que los clientes apliquen la actualización inmediatamente con el software de administración de actualizaciones o busquen las actualizaciones con el servicio Microsoft Update.

Vea también la sección Herramientas y consejos para la detección e implementación, más adelante en este boletín.

Problemas conocidos. En el artículo 2664258 de Microsoft Knowledge Base se señalan los problemas detectados que pueden experimentar los clientes al instalar esta actualización de seguridad. Se documentan asimismo las soluciones propuestas.

Software afectado y no afectado

El software siguiente se ha probado para determinar las versiones o ediciones que están afectadas. Otras versiones o ediciones han llegado al final de su ciclo de vida o no están afectadas. Para determinar el ciclo de vida del soporte técnico de su versión o edición de software, visite Ciclo de vida del soporte técnico de Microsoft.

Software afectado

Conjuntos de programas y software de Microsoft Office

Software de OfficeRepercusión de seguridad máximaClasificación de gravedad acumuladaActualizaciones reemplazadas
Conjuntos de programas y componentes de Microsoft Office
Microsoft Office 2003 Service Pack 3
(Controles comunes de Windows)
(KB2597112)
Ejecución remota de códigoCríticaNinguna
Microsoft Office 2003 Web Components Service Pack 3
(Controles comunes de Windows)
(KB2597112)
Ejecución remota de códigoCríticaNinguna
Microsoft Office 2007 Service Pack 2
(Controles comunes de Windows)
(KB2598041)
Ejecución remota de códigoCríticaNinguna
Microsoft Office 2007 Service Pack 3
(Controles comunes de Windows)
(KB2598041)
Ejecución remota de códigoCríticaNinguna
Microsoft Office 2010 (ediciones de 32 bits)
(Controles comunes de Windows)
(KB2598039)
Ejecución remota de códigoCríticaNinguna
Microsoft Office 2010 Service Pack 1 (ediciones de 32 bits)
(Controles comunes de Windows)
(KB2598039)
Ejecución remota de códigoCríticaNinguna

Software de Microsoft SQL Server

Actualizaciones de software GDRActualizaciones de software QFERepercusión de seguridad máximaClasificación de gravedad acumuladaActualizaciones reemplazadas
Microsoft SQL Server 2000
Microsoft SQL Server 2000 Service Pack 4
(KB983808)
Microsoft SQL Server 2000 Service Pack 4
(KB983809)
Ejecución remota de códigoCríticaKB960082 en MS09-004 se reemplaza por KB983808.KB960083 en

Componentes de Microsoft SQL Server

Microsoft SQL ServerComponenteRepercusión de seguridad máximaClasificación de gravedad acumuladaActualizaciones reemplazadas
Microsoft SQL Server 2000
Microsoft SQL Server 2000 Service Pack 4Microsoft SQL Server 2000 Analysis Services Service Pack 4
(KB983807)
Ejecución remota de códigoCríticaNinguna
Microsoft SQL Server 2005
Microsoft SQL Server 2005 Express Edition con Advanced Services Service Pack 4[1]
(Controles comunes de Windows)
(KB2597112)
No aplicableEjecución remota de códigoCríticaNinguna
Microsoft SQL Server 2005 para sistemas de 32 bits Service Pack 4[1]
(Controles comunes de Windows)
(KB2597112)
No aplicableEjecución remota de códigoCríticaNinguna
Microsoft SQL Server 2005 para sistemas con Itanium Service Pack 4[1]
(Controles comunes de Windows)
(KB2597112)
No aplicableEjecución remota de códigoCríticaNinguna
Microsoft SQL Server 2005 para sistemas x64 Service Pack 4[1]
(Controles comunes de Windows)
(KB2597112)
No aplicableEjecución remota de códigoCríticaNinguna
Microsoft SQL Server 2008
Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 2[2]
(Controles comunes de Windows)
(KB2598041)
No aplicableEjecución remota de códigoCríticaNinguna
Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 3[2]
(Controles comunes de Windows)
(KB2598041)
No aplicableEjecución remota de códigoCríticaNinguna
Microsoft SQL Server 2008 para sistemas x64 Service Pack 2[2]
(Controles comunes de Windows)
(KB2598041)
No aplicableEjecución remota de códigoCríticaNinguna
Microsoft SQL Server 2008 para sistemas x64 Service Pack 3[2]
(Controles comunes de Windows)
(KB2598041)
No aplicableEjecución remota de códigoCríticaNinguna
Microsoft SQL Server 2008 para sistemas con Itanium Service Pack 2[2]
(Controles comunes de Windows)
(KB2598041)
No aplicableEjecución remota de códigoCríticaNinguna
Microsoft SQL Server 2008 para sistemas con Itanium Service Pack 3[2]
(Controles comunes de Windows)
(KB2598041)
No aplicableEjecución remota de códigoCríticaNinguna
Microsoft SQL Server 2008 R2
Microsoft SQL Server 2008 R2 para sistemas de 32 bits[2]
(Controles comunes de Windows)
(KB2598041)
No aplicableEjecución remota de códigoCríticaNinguna
Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 1[2]
(Controles comunes de Windows)
(KB2598041)
No aplicableEjecución remota de códigoCríticaNinguna
Microsoft SQL Server 2008 R2 para sistemas x64[2]
(Controles comunes de Windows)
(KB2598041)
No aplicableEjecución remota de códigoCríticaNinguna
Microsoft SQL Server 2008 R2 para sistemas x64 Service Pack 1[2]
(Controles comunes de Windows)
(KB2598041)
No aplicableEjecución remota de códigoCríticaNinguna
Microsoft SQL Server 2008 R2 para sistemas con Itanium[2]
(Controles comunes de Windows)
(KB2598041)
No aplicableEjecución remota de códigoCríticaNinguna
Microsoft SQL Server 2008 R2 para sistemas con Itanium Service Pack 1[2]
(Controles comunes de Windows)
(KB2598041)
No aplicableEjecución remota de códigoCríticaNinguna
[1]
Esta actualización es la misma que la de Microsoft Office 2003
[2]
Esta actualización es la misma que la de Microsoft Office 2007

Otro software de servicio de Microsoft
Software de servidorRepercusión de seguridad máximaClasificación de gravedad acumuladaActualizaciones reemplazadas
Microsoft BizTalk Server
Microsoft BizTalk Server 2002 Service Pack 1
(KB2645025)
Ejecución remota de códigoCríticaNinguna
Microsoft Commerce Server
Microsoft Commerce Server 2002 Service Pack 4
(KB2658674)
Ejecución remota de códigoCríticaNinguna
Microsoft Commerce Server 2007 Service Pack 2
(KB2658677)
Ejecución remota de códigoCríticaNinguna
Microsoft Commerce Server 2009
(KB2655547)
Ejecución remota de códigoCríticaNinguna
Microsoft Commerce Server 2009 R2
(KB2658676)
Ejecución remota de códigoCríticaNinguna

Herramientas y software para desarrolladores de Microsoft

SoftwareRepercusión de seguridad máximaClasificación de gravedad acumuladaActualizaciones reemplazadas
Microsoft Visual FoxPro
Microsoft Visual FoxPro 8.0 Service Pack 1
(KB2647488)
Ejecución remota de códigoCríticaNinguna
Microsoft Visual FoxPro 9.0 Service Pack 2
(KB2647490)
Ejecución remota de códigoCríticaNinguna
Visual Basic
Visual Basic 6.0 Runtime
(KB2641426)
Ejecución remota de códigoCríticaNinguna

Software no afectado

Office y otro software
Microsoft Office 2010 (ediciones de 64 bits)
Microsoft Office 2010 Service Pack 1 (ediciones de 64 bits)
Microsoft Office Web Apps
Microsoft SQL Server 2000 Itanium Edition Service Pack 4
Microsoft SQL Server 2000 Reporting Services Service Pack 2
Microsoft SQL Server 2000 Desktop Engine (MSDE) en Microsoft Windows Server 2003 Service Pack 2
Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Service Pack 4
Microsoft SQL Server 2005 Express Edition Service Pack 4
SQL Server Management Studio Express (SSMSE) 2005
Microsoft SQL Server 2008 Management Studio
Microsoft BizTalk Server 2004
Microsoft BizTalk Server 2006
Microsoft BizTalk Server 2009
Microsoft Data Engine (MSDE) 1.0
Microsoft Data Engine (MSDE) 1.0 Service Pack 4

Preguntas más frecuentes (P+F) relacionadas con esta actualización de seguridad

Información sobre la vulnerabilidad

Gravedad e identificadores de vulnerabilidad

Vulnerabilidad de ejecución remota de código en MSCOMCTL.OCX (CVE-2012-0158)

Información sobre la actualización

Herramientas y consejos para la detección e implementación

Implementación de la actualización de seguridad

Información adicional:

Microsoft Active Protections Program (MAPP)

Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. De este modo, los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como, por ejemplo, antivirus, sistemas de detección de intrusiones de red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas en los proveedores de software de seguridad, visite los sitios web de protecciones activas que proporcionan los asociados, enumeradas en Asociados de Microsoft Active Protections Program (MAPP).

Soporte técnico

Cómo obtener ayuda y soporte técnico para esta actualización de seguridad

Renuncia

La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantías de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones

  • V1.0 (10 de abril de 2012): Publicación del boletín.
  • V2.0 (26 de abril de 2012): Se han agregado las versiones de Service Pack 1 de SQL Server 2008 R2 al software afectado y se ha agregado una entrada a las preguntas más frecuentes de la actualización para explicar la actualización de SQL Server 2000 que se debe usar en los intervalos de versión. Sólo son cambios informativos. No había cambios en los archivos de la actualización de seguridad o en la lógica de la detección. Para obtener una lista completa de los cambios, consulte la entrada de la sección Preguntas más frecuentes (P+F) relacionadas con esta actualización de seguridad.