Boletín de seguridad de Microsoft MS12-037 - Crítica

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En el caso de un ataque basado en web, el intruso podría hospedar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita los scripts y los controles ActiveX, contribuye a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en web.
• De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.
• Internet Explorer 9 no está afectado por esta vulnerabilidad.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, realice los siguientes pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet usan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet usan scripts ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de ejecución remota de código.

¿Cuál es la causa de esta vulnerabilidad? 
Cuando Internet Explorer intenta obtener acceso a un objeto que se ha eliminado, puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría hospedar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. Un atacante también podría insertar un control ActiveX marcado como "seguro para inicialización" en una aplicación o un documento de Microsoft Office que aloje el motor de representación de IE. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente al hacer clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas en los que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, están expuestos a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al modificar la manera en que Internet Explorer trata los objetos en memoria.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En el caso de un ataque basado en web, el intruso podría hospedar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita los scripts y los controles ActiveX, contribuye a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en web.
• De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.
• Sólo los sitios web que usan toStaticHTML pueden estar afectados.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Leer los correos electrónicos en texto sin formato

  Para protegerse del tipo de ataque mediante correo electrónico, lea los mensajes de correo electrónico en texto sin formato.

  Microsoft Outlook 2003, Microsoft Outlook 2007 y Microsoft Outlook 2010 proporcionan una opción para leer los mensajes de correo electrónico en texto sin formato. Para obtener más información acerca de la opción Leer todo el correo estándar en texto sin formato, vea el artículo 831607 de Microsoft Knowledge Base.

  Los usuarios de Microsoft Office Outlook 2002 que hayan aplicado Office XP Service Pack 1, Office XP Service Pack 2 u Office XP Service Pack 3 pueden habilitar esta configuración y ver en texto sin formato solo los mensajes de correo electrónico que no estén firmados digitalmente o mensajes de correo electrónico que no estén cifrados.

  A los mensajes de correo electrónico firmados digitalmente o cifrados no les afecta esta configuración y pueden leerse en sus formatos originales. Para obtener más información acerca de cómo habilitar esta configuración en Outlook 2002, vea el artículo 307594 de Microsoft Knowledge Base.

  Consecuencias de la solución provisional. Los mensajes de correo electrónico vistos como texto sin formato no contienen imágenes, fuentes especiales, animaciones o contenido enriquecido. Además:

  • Los cambios se aplican al panel de vista previa y a los mensajes abiertos.
  • Las imágenes se conservan como archivos adjuntos.
  • Como el formato del mensaje sigue siendo de texto enriquecido o HTML en el almacén, el modelo de objetos (soluciones de código personalizado) puede comportarse inesperadamente.

    

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, realice los siguientes pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet usan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet usan scripts ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

¿Cuál es el alcance de esta vulnerabilidad? 
Esta vulnerabilidad afecta a la divulgación de información. Un atacante que aproveche la vulnerabilidad cuando un usuario visita una página web que usa el método toStaticHTML podría ejecutar un ataque de secuencias de comandos de sitios en el usuario.

¿Cuál es la causa de esta vulnerabilidad? 
La vulnerabilidad se debe a la forma en que la API de toStaticHTML incluida Internet Explorer trata el contenido que usa cadenas específicas en el saneamiento de HTML.

¿Qué es el método toStaticHTML? 
El método toStaticHTML se puede usar para quitar atributos de evento y secuencias de comandos de la entrada de usuario antes de mostrarla como HTML. Para más información, vea Método toStaticHTML.

¿Esta vulnerabilidad está relacionada con CVE-2012-1858 en MS12-039, Vulnerabilidades en Lync podrían permitir la ejecución remota de código? 
Sí, la vulnerabilidad de saneamiento de HTML, CVE-2012-1858, también afecta a Microsoft Lync.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que consiguiera aprovechar la vulnerabilidad podría llevar a cabo ataques de secuencias de comandos de sitio a usuarios que visiten un sitio web que usa el método toStaticHTML para el saneamiento del código HTML. Un atacante podría ejecutar una secuencia de comandos en nombre de un usuario víctima que se encuentre en el sitio.

¿Qué son los scripts de sitios? 
Los scripts de sitios (XSS) son un tipo de vulnerabilidad de seguridad que puede permitir a un atacante insertar código en la sesión de un usuario en un sitio web. La vulnerabilidad puede afectar a servidores web que generan dinámicamente páginas HTML. Si estos servidores incrustan entradas del explorador en las páginas dinámicas que devuelven al explorador, sería posible manipular los servidores de modo que incluyan en las páginas dinámicas contenido. que permita la ejecución de código dañino. Los exploradores web podrían perpetuar el problema por medio de las suposiciones de sitios de confianza y el uso de cookies para mantener un estado permanente con los sitios web que frecuentan. Un ataque de XSS no modifica el contenido de un sitio web; más bien inserta código dañino nuevo que puede ejecutar en el explorador en el contexto asociado con un servidor de confianza.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría hospedar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente al hacer clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas en los que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, están expuestos a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al modificar la manera en que Internet Explorer trata el saneamiento de HTML mediante el método toStaticHTML.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En el caso de un ataque basado en web, el intruso podría hospedar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita los scripts y los controles ActiveX, contribuye a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en web.
• De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, realice los siguientes pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet usan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet usan scripts ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de scripts de sitios que podría dar como resultado la divulgación de información.

¿Cuál es la causa de esta vulnerabilidad? 
En determinados procesos, Internet Explorer trata incorrectamente determinadas secuencias de caracteres, lo que provoca que los sitios web implementen filtrado inadecuado.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que consiguiera aprovechar esta vulnerabilidad podría realizar ataques de secuencias de comandos de sitios que provoquen la divulgación de información cuando un usuario visita un sitio web de destino.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría insertar cadenas en un sitio web diseñadas para aprovechar esta vulnerabilidad a través de Internet Explorer y, a continuación, convencer a un usuario par que visite el sitio web. Sin embargo, el atacante no podría obligar a los usuarios a visitar el sitio web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web que contenga el contenido malintencionado.

¿Qué son los scripts de sitios? 
Los scripts de sitios (XSS) son un tipo de vulnerabilidad de seguridad que puede permitir a un atacante insertar código en la sesión de un usuario en un sitio web. La vulnerabilidad puede afectar a servidores web que generan dinámicamente páginas HTML. Si estos servidores incrustan entradas del explorador en las páginas dinámicas que devuelven al explorador, sería posible manipular los servidores de modo que incluyan en las páginas dinámicas contenido. que permita la ejecución de código dañino. Los exploradores web podrían perpetuar el problema por medio de las suposiciones de sitios de confianza y el uso de cookies para mantener un estado permanente con los sitios web que frecuentan. Un ataque de XSS no modifica el contenido de un sitio web; más bien inserta código dañino nuevo que puede ejecutar en el explorador en el contexto asociado con un servidor de confianza.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas en los que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, están expuestos a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al modificar la manera en que Internet Explorer representa los datos durante determinados procesos.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En el caso de un ataque basado en web, el intruso podría hospedar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita los scripts y los controles ActiveX, contribuye a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en web.
• De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Leer los correos electrónicos en texto sin formato

  Para protegerse del tipo de ataque mediante correo electrónico, lea los mensajes de correo electrónico en texto sin formato.

  Microsoft Outlook 2003, Microsoft Outlook 2007 y Microsoft Outlook 2010 proporcionan una opción para leer los mensajes de correo electrónico en texto sin formato. Para obtener más información acerca de la opción Leer todo el correo estándar en texto sin formato, vea el artículo 831607 de Microsoft Knowledge Base.

  Los usuarios de Microsoft Office Outlook 2002 que hayan aplicado Office XP Service Pack 1, Office XP Service Pack 2 u Office XP Service Pack 3 pueden habilitar esta configuración y ver en texto sin formato solo los mensajes de correo electrónico que no estén firmados digitalmente o mensajes de correo electrónico que no estén cifrados.

  A los mensajes de correo electrónico firmados digitalmente o cifrados no les afecta esta configuración y pueden leerse en sus formatos originales. Para obtener más información acerca de cómo habilitar esta configuración en Outlook 2002, vea el artículo 307594 de Microsoft Knowledge Base.

  Consecuencias de la solución provisional. Los mensajes de correo electrónico vistos como texto sin formato no contienen imágenes, fuentes especiales, animaciones o contenido enriquecido. Además:

  • Los cambios se aplican al panel de vista previa y a los mensajes abiertos.
  • Las imágenes se conservan como archivos adjuntos.
  • Como el formato del mensaje sigue siendo de texto enriquecido o HTML en el almacén, el modelo de objetos (soluciones de código personalizado) puede comportarse inesperadamente.

    

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, realice los siguientes pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet usan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet usan scripts ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

¿Cuál es el alcance de esta vulnerabilidad? 
Esta vulnerabilidad afecta a la divulgación de información.

¿Cuál es la causa de esta vulnerabilidad? 
Durante determinados procesos, Internet Explorer permite incorrectamente que los atacantes obtengan acceso y lean el contenido de la memoria de proceso.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que consiga aprovechar esta vulnerabilidad podría ver el contenido de la memoria de proceso de Internet Explorer.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría hospedar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.

También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas en los que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, están expuestos a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al modificar la manera en que Internet Explorer crea e inicializa las cadenas.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En el caso de un ataque basado en web, el intruso podría hospedar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita los scripts y los controles ActiveX, contribuye a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en web.
• De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.
• La intervención del usuario es necesaria para aprovechar esta vulnerabilidad. El usuario debe abrir la barra de herramientas de desarrollo de Internet Explorer cuando visite un sitio web especialmente diseñado.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, realice los siguientes pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet usan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet usan scripts ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de ejecución remota de código.

¿Cuál es la causa de esta vulnerabilidad? 
Cuando Internet Explorer intenta obtener acceso a un objeto que se ha eliminado, puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría hospedar un sitio web especialmente diseñado para aprovechar esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web y abra la barra de herramientas de desarrollo de Internet Explorer. Un atacante también podría insertar un control ActiveX marcado como "seguro para inicialización" en una aplicación o un documento de Microsoft Office que aloje el motor de representación de IE. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente al hacer clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas en los que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, están expuestos a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al modificar la manera en que Internet Explorer trata los objetos en memoria.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En el caso de un ataque basado en web, el intruso podría hospedar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita los scripts y los controles ActiveX, contribuye a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en web.
• De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, realice los siguientes pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet usan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet usan scripts ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de ejecución remota de código.

¿Cuál es la causa de esta vulnerabilidad? 
Cuando Internet Explorer intenta obtener acceso a un objeto que se ha eliminado, puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría hospedar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. Un atacante también podría insertar un control ActiveX marcado como "seguro para inicialización" en una aplicación o un documento de Microsoft Office que aloje el motor de representación de IE. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente al hacer clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas en los que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, están expuestos a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al modificar la manera en que Internet Explorer trata los objetos en memoria.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
Sí. Microsoft es consciente de ataques limitados que intentan aprovechar esta vulnerabilidad. No obstante, cuando se publicó el boletín Microsoft no había visto publicado ningún ejemplo de código de prueba de concepto.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En el caso de un ataque basado en web, el intruso podría hospedar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita los scripts y los controles ActiveX, contribuye a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en web.
• De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, realice los siguientes pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet usan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet usan scripts ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de ejecución remota de código.

¿Cuál es la causa de esta vulnerabilidad? 
Cuando Internet Explorer intenta obtener acceso a un objeto que no existe, puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría hospedar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. Un atacante también podría insertar un control ActiveX marcado como "seguro para inicialización" en una aplicación o un documento de Microsoft Office que aloje el motor de representación de IE. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente al hacer clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas en los que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, están expuestos a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al modificar la manera en que Internet Explorer accede a los objetos en memoria.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En el caso de un ataque basado en web, el intruso podría hospedar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita los scripts y los controles ActiveX, contribuye a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en web.
• De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, realice los siguientes pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet usan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet usan scripts ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de ejecución remota de código.

¿Cuál es la causa de esta vulnerabilidad? 
Cuando Internet Explorer intenta obtener acceso a un objeto que se ha eliminado, puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría hospedar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. Un atacante también podría insertar un control ActiveX marcado como "seguro para inicialización" en una aplicación o un documento de Microsoft Office que aloje el motor de representación de IE. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente al hacer clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas en los que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, están expuestos a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al modificar la manera en que Internet Explorer trata los objetos en memoria.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En el caso de un ataque basado en web, el intruso podría hospedar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita los scripts y los controles ActiveX, contribuye a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en web.
• De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, realice los siguientes pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet usan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet usan scripts ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de ejecución remota de código.

¿Cuál es la causa de esta vulnerabilidad? 
Cuando Internet Explorer intenta obtener acceso a un objeto que se ha eliminado, puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría hospedar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. Un atacante también podría insertar un control ActiveX marcado como "seguro para inicialización" en una aplicación o un documento de Microsoft Office que aloje el motor de representación de IE. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente al hacer clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas en los que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, están expuestos a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al modificar la manera en que Internet Explorer trata los objetos en memoria.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En el caso de un ataque basado en web, el intruso podría hospedar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita los scripts y los controles ActiveX, contribuye a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en web.
• De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, realice los siguientes pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet usan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet usan scripts ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de ejecución remota de código.

¿Cuál es la causa de esta vulnerabilidad? 
Cuando Internet Explorer intenta acceder a una ubicación de memoria no definida, se puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría hospedar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. Un atacante también podría insertar un control ActiveX marcado como "seguro para inicialización" en una aplicación o un documento de Microsoft Office que aloje el motor de representación de IE. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente al hacer clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas en los que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, están expuestos a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al modificar la manera en que Internet Explorer accede a los objetos en memoria.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En el caso de un ataque basado en web, el intruso podría hospedar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita los scripts y los controles ActiveX, contribuye a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en web.
• De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, realice los siguientes pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet usan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet usan scripts ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de ejecución remota de código.

¿Cuál es la causa de esta vulnerabilidad? 
Cuando Internet Explorer intenta obtener acceso a un objeto que se ha eliminado, puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría hospedar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. Un atacante también podría insertar un control ActiveX marcado como "seguro para inicialización" en una aplicación o un documento de Microsoft Office que aloje el motor de representación de IE. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente al hacer clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas en los que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, están expuestos a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al modificar la manera en que Internet Explorer trata los objetos en memoria.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En el caso de un ataque basado en web, el intruso podría hospedar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita los scripts y los controles ActiveX, contribuye a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en web.
• De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, realice los siguientes pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet usan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet usan scripts ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

¿Cuál es el alcance de esta vulnerabilidad? 
Se trata de una vulnerabilidad de ejecución remota de código.

¿Cuál es la causa de esta vulnerabilidad? 
Cuando Internet Explorer intenta obtener acceso a un objeto que se ha eliminado, puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría hospedar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. Un atacante también podría insertar un control ActiveX marcado como "seguro para inicialización" en una aplicación o un documento de Microsoft Office que aloje el motor de representación de IE. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente al hacer clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web del atacante o al abrir datos adjuntos enviados por correo electrónico.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas en los que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, están expuestos a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al modificar la manera en que Internet Explorer trata los objetos en memoria.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• En el caso de un ataque basado en web, el intruso podría hospedar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita los scripts y los controles ActiveX, contribuye a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en web.
• De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad:

• Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas

  Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting. Para ello, establezca la seguridad del explorador en Alta.

  Para aumentar el nivel de seguridad en Internet Explorer, realice los siguientes pasos:

  1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
  2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
  3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios web que visite en Alta.

  Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alta.

  Nota Al establecer el nivel en Alta, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

  Consecuencias de la solución provisional. El bloqueo de los controles ActiveX y Active Scripting tiene algunas repercusiones. Muchos sitios web de Internet o de una intranet usan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o Active Scripting es una opción de configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos de la sección "Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para bloquear los controles ActiveX y Active Scripting en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque desde sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

• Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

  Puede contribuir a la protección contra el aprovechamiento de esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  2. Haga clic en la ficha Seguridad.
  3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  4. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  6. En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos  o Desactivar y, a continuación, haga clic en Aceptar.
  7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

  Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios web no funcionen correctamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Consecuencias de la solución provisional. Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet usan scripts ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le solicitará que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los scripts ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

  Agregar sitios en los que confía a la zona de sitios de confianza de Internet Explorer

  Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir usando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

  Para ello, siga estas indicaciones:

  1. En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
  2. En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
  3. Si desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
  4. En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  5. Repita estos pasos para cada sitio que desee agregar a la zona.
  6. Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

  Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

¿Cuál es el alcance de esta vulnerabilidad? 
Esta vulnerabilidad afecta a la divulgación de información.

¿Cuál es la causa de esta vulnerabilidad? 
Internet Explorer no bloquea los eventos Scroll entre dominios, lo que permite a los atacantes acceder a contenido de distintos dominios.

¿Para qué puede usar un atacante esta vulnerabilidad? 
Un atacante que consiga aprovechar esta vulnerabilidad podría ver el contenido de otro dominio o zona de Internet Explorer.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
Un atacante podría hospedar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
Los sistemas en los que se use Internet Explorer de forma habitual, como estaciones de trabajo y servidores de Terminal Server, están expuestos a esta vulnerabilidad.

Estoy ejecutando Internet Explorer para Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. ¿Soluciona esto la vulnerabilidad? 
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al bloquear los eventos Scroll entre dominios en Internet Explorer.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
Sí. Esta vulnerabilidad ya se ha divulgado públicamente. Se le ha asignado el número de vulnerabilidad y exposición común CVE-2012-1882.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad? 
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Nota La actualización de las versiones compatibles de Windows XP Professional x64 Edition también se aplica a las versiones compatibles de Windows Server 2003 x64 Edition.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Nota La actualización de las versiones compatibles de Windows Server 2003 x64 Edition también se aplica a las versiones compatibles de Windows XP Professional x64 Edition.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.