El software siguiente se ha probado para determinar las versiones o ediciones que están afectadas. Otras versiones o ediciones han llegado al final de su ciclo de vida o no están afectadas. Para determinar el ciclo de vida del soporte técnico de su versión o edición de software, vea Ciclo de vida del soporte técnico de Microsoft.

Software afectado 

[1]Esta actualización está disponible a través de Windows Update.

Software no afectado

¿Cómo se ve afectado Internet Explorer por esta vulnerabilidad? 
La vulnerabilidad se encuentra en la biblioteca de controles comunes MSCOMCTL incluida con el software de Microsoft Office. En el caso de un ataque basado en web, Internet Explorer puede cargar esta versión de la biblioteca de controles comunes MSCOMCTL al ejecutar componentes COM.

Se me ofrece esta actualización para software que no tengo instalado en el sistema. ¿Por qué se me ofrece esta actualización? 
Debido al modelo de servicio de las actualizaciones de Microsoft Office, es posible que se le ofrezcan actualizaciones de software que no tiene instalado en el sistema. Por ejemplo, se le puede ofrecer una actualización de un producto de Microsoft Office aunque no lo tenga instalado. Para obtener más información acerca de este comportamiento y las acciones recomendadas, vea el artículo 830335 de Microsoft Knowledge Base.

Se me ofrece esta actualización para software que no está enumerado específicamente en la tabla Software afectado. ¿Por qué se me ofrece esta actualización? 
Cuando las actualizaciones corrigen código vulnerable que existe en un componente que se comparte en múltiples productos de Microsoft Office o se comparte en múltiples versiones del mismo producto de Microsoft Office, la actualización se considera aplicable a todos los productos que contienen el componente vulnerable.

Por ejemplo, cuando una actualización se aplica a productos de Microsoft Office 2007, es posible que solo se enumere Microsoft Office 2007 en la tabla Software afectado. Sin embargo, la actualización se podría aplicar a Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Paquete de compatibilidad de Microsoft, Microsoft Excel Viewer o cualquier otro producto de Microsoft Office 2007 que no se enumera específicamente en la tabla Software afectado.

Por ejemplo, cuando una actualización se aplica a productos de Microsoft Office 2010, es posible que solo se enumere Microsoft Office 2010 en la tabla Software afectado. Sin embargo, la actualización se podría aplicar a Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer o cualquier otro producto de Microsoft Office 2010 que no se enumera específicamente en la tabla Software afectado.

Para obtener más información sobre este comportamiento y las acciones recomendadas, vea el artículo 830335 de Microsoft Knowledge Base. Para obtener una lista de los productos de Microsoft Office a los que se puede aplicar una actualización, consulte el artículo de Microsoft Knowledge Base asociado con la actualización específica.

Uso una versión anterior del software tratado en este boletín de seguridad. ¿Qué debo hacer? 
El software afectado que se enumera en este boletín se ha probado para determinar las versiones que están afectadas. Otras versiones o ediciones han pasado su ciclo de vida del soporte técnico. Para obtener más información acerca del ciclo de vida del soporte técnico de los productos, visite el sitio web Ciclo de vida del soporte técnico de Microsoft.

Los clientes que tengan esas versiones o ediciones anteriores del software deberían plantearse la migración a versiones con soporte técnico para evitar la exposición a vulnerabilidades. Para determinar el ciclo de vida del soporte técnico de su versión de software, vea Seleccionar un producto para obtener información acerca del ciclo de vida. Para obtener más información acerca de los Service Packs de estas versiones de software, vea Directiva de compatibilidad del ciclo de vida de los Service Packs.

Los clientes que requieran soporte técnico para el software anterior deben ponerse en contacto con su representante del equipo de cuentas de Microsoft, con su administrador técnico de cuentas o con el representante del socio de Microsoft apropiado para consultar las opciones de soporte personalizado disponibles. Los clientes sin un contrato Alliance, Premier o Authorized pueden ponerse en contacto con su oficina de ventas local de Microsoft. Para obtener información de contacto, visite el sitio web de información en todo el mundo de Microsoft, seleccione el país en la lista Información de contacto y, a continuación, haga clic en Ir para ver una lista de números de teléfono. Cuando llame, diga que desea hablar con el administrador de ventas local de soporte técnico Premier. Para obtener más información, vea Preguntas más frecuentes de la directiva del ciclo de vida del soporte técnico de Microsoft.

En las siguientes clasificaciones de gravedad se supone la máxima repercusión posible de la vulnerabilidad. Para obtener información acerca de la probabilidad, en el plazo de 30 días después de la publicación de este boletín de seguridad, de la explotabilidad de la vulnerabilidad en relación con su clasificación de gravedad y repercusiones de seguridad, vea el índice de explotabilidad en el resumen del boletín de mayo. Para obtener más información, vea Índice de explotabilidad de Microsoft.

Existe una vulnerabilidad de omisión de característica de seguridad debida a que la biblioteca de controles comunes MSCOMCTL que usa el software de Microsoft Office no implementa correctamente la selección aleatoria del diseño del espacio de direcciones (ASLR). La vulnerabilidad podría permitir a un atacante omitir la característica de seguridad de ASLR, que contribuye a proteger a los usuarios de una amplia gama de vulnerabilidades. La omisión de la característica de seguridad en sí misma no permite la ejecución de código arbitrario. No obstante, un atacante podría usar esta vulnerabilidad de omisión de ASLR conjuntamente con otra vulnerabilidad, como la de ejecución remota de código, que pudiera aprovechar la omisión de ASLR para ejecutar código arbitrario.

Para ver esta vulnerabilidad como una entrada estándar en la lista de vulnerabilidades y exposiciones comunes, vea CVE-2014-1809.

Factores atenuantes

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• La vulnerabilidad no puede aprovecharse automáticamente mediante el correo electrónico. Para que se realice el ataque, un usuario debe abrir los datos adjuntos enviados en un mensaje de correo electrónico u obtener una vista previa de ellos, o bien hacer clic en un vínculo incluido en un mensaje de correo electrónico.
• En el caso de un ataque basado en web, el atacante podría hospedar un sitio web destinado a aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a ver el contenido controlado por el atacante. Por lo tanto, tendría que atraerlos para realizaran una acción; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa el aprovechamiento de esta vulnerabilidad a través de Internet Explorer. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

Soluciones provisionales

Microsoft no ha identificado soluciones provisionales para esta vulnerabilidad.

Preguntas más frecuentes

¿Cuál es el alcance de esta vulnerabilidad? 
Es una vulnerabilidad de omisión de característica de seguridad.

¿Cuál es la causa de esta vulnerabilidad? 
La vulnerabilidad se debe a que la biblioteca de controles comunes MSCOMCTL incluida con el software de Microsoft Office no implementa correctamente la selección aleatoria del diseño del espacio de direcciones (ASLR). Como resultado, un atacante puede predecir de forma más confiable los desplazamientos de memoria de instrucciones específicas en una determinada pila de llamadas.

¿Qué es ASLR? 
La selección aleatoria del diseño del espacio de direcciones (ASLR) desplaza las imágenes de ejecutables en ubicaciones aleatorias cuando se inicia un sistema, lo que contribuye a evitar que un atacante aproveche los datos en ubicaciones predecibles. Para que un componente admita ASLR, todos los componentes que cargue también deben admitir ASLR. Por ejemplo, A.exe consume B.dll y C.dll, los tres deben admitir ASLR. De forma predeterminada, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 y Windows Server 2012 R2 aplican la selección aleatorios para las DLL y los ejecutables, pero las DLL y los ejecutables creados por proveedores de software independientes (ISV) deben habilitar la compatibilidad con ASLR mediante la opción /DYNAMICBASE del vinculador.

ASLR también realiza una selección aleatoria del montón y de la pila:

• Cuando una aplicación crea un montón en Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 y Windows Server 2012 R2, el administrador del montón creará dicho montón en una ubicación aleatoria para reducir las posibilidades de un intento para aprovechar un desbordamiento del búfer basado en el montón. La selección aleatoria del montón está habilitada de forma predeterminada para todas las aplicaciones que se ejecutan en Windows Vista o posterior.
• Cuando un subproceso empieza en un proceso vinculado con /DYNAMICBASE, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 y Windows Server 2012 R2 mueven la pila del subproceso a una ubicación aleatoria para reducir las posibilidades de que se aproveche el desbordamiento del búfer basado en el montón.

¿Para qué puede utilizar un atacante esta vulnerabilidad? 
Un atacante que aprovechara esta vulnerabilidad podría omitir la característica de seguridad ASLR. La omisión de la característica de seguridad en sí misma no permite la ejecución de código arbitrario. No obstante, un atacante podría usar esta vulnerabilidad de omisión de ASLR conjuntamente con otra vulnerabilidad, como la de ejecución remota de código, que pudiera aprovechar la omisión de ASLR para ejecutar código arbitrario.

¿Cómo podría aprovechar un atacante la vulnerabilidad? 
En el caso de un ataque basado en web, el atacante podría hospedar un sitio web destinado a aprovechar esta vulnerabilidad. Un atacante también podría insertar un control ActiveX marcado como "seguro para inicialización" en una aplicación o un documento de Microsoft Office que aloje el motor de representación de IE. Además, los sitios web vulnerables y los sitios web que aceptan u hospedan contenido proporcionado por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. El atacante no podría obligar a los usuarios a visitar un sitio web especialmente diseñado. En su lugar, tendría que convencerlos para realizaran una acción. Por ejemplo, un atacante podría engañar a los usuarios para que hagan clic en un vínculo que los lleve al sitio del atacante.

Cuando un usuario visita un sitio web que incluye contenido malintencionado con un explorador web que pueda ejecutar componentes COM, como Internet Explorer, se puede cargar el componente de Microsoft Office afectado para omitir ASLR.

Un atacante podría enlazar esta vulnerabilidad de omisión de característica de seguridad a otra adicional, normalmente una vulnerabilidad de ejecución remota de código. La vulnerabilidad adicional aprovecharía la omisión de característica de seguridad. Por ejemplo, una vulnerabilidad de ejecución remota de código que esté bloqueada por ASLR, se podría aprovechar después de que se consiga omitir ASLR.

¿Qué sistemas están más expuestos a esta vulnerabilidad? 
En un escenario de exploración web, para aprovechar esta vulnerabilidad, es necesario que el usuario haya iniciado la sesión y visite sitios web con un explorador web capaz de ejecutar componentes COM. Por lo tanto, cualquier sistema en el que se use un explorador web de forma habitual, como estaciones de trabajo y servidores de Terminal Server, está expuesto a esta vulnerabilidad. Los servidores podrían correr un mayor riesgo si los administradores permiten a los usuarios explorar y leer correo electrónico en los servidores. Sin embargo, los procedimientos recomendados desaconsejan permitir esto.

¿EMET contribuye a atenuar los ataques que pudieran intentar aprovechar esta vulnerabilidad? 
Sí. Enhanced Mitigation Experience Toolkit (EMET) permite a los usuarios administrar las tecnologías de mitigación de seguridad que dificulten a los atacantes el aprovechamiento de las vulnerabilidades en un determinado software. EMET ayuda a mitigar esta vulnerabilidad en Microsoft Office en los sistemas donde EMET está instalado y configurado para funcionar con el software de Microsoft Office.

Para obtener más información acerca de EMET, vea Enhanced Mitigation Experience Toolkit.

¿Cómo funciona esta actualización? 
La actualización corrige la vulnerabilidad al contribuir a garantizar que la biblioteca de controles comunes MSCOMCTL incluida con el software de Microsoft Office implementa ASLR correctamente.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad? 
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba utilizando esta vulnerabilidad? 
Sí. Microsoft tiene constancia de ataques dirigidos y limitados que intentan aprovechar esta vulnerabilidad.

Hay disponibles varios recursos para ayudar a los administradores a implementar las actualizaciones de seguridad. 

• Microsoft Baseline Security Analyzer (MBSA) permite a los administradores examinar sistemas remotos y locales para detectar las actualizaciones de seguridad que faltan y las configuraciones de seguridad incorrectas más comunes. 
• Windows Server Update Services (WSUS), Systems Management Server (SMS) y System Center Configuration Manager ayudan a los administradores a distribuir las actualizaciones de seguridad. 
• Los componentes del Evaluador de compatibilidad de aplicaciones incluidos con el kit de herramientas de compatibilidad de aplicaciones contribuyen a optimizar las pruebas y la validación de las actualizaciones de Windows en las aplicaciones instaladas. 

Para obtener información acerca de estas y otras herramientas que hay disponibles, vea Herramientas de seguridad para profesionales de TI. 

Microsoft Office 2007 (todas las ediciones) y Paquete de compatibilidad de Microsoft Office

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software.

Microsoft Office 2010 (todas las ediciones)

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software.

Microsoft Office 2013 (todas las ediciones)

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software.

Microsoft Office 2013 RT (todas las ediciones)

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software.

Microsoft Active Protections Program (MAPP)

Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. De este modo, los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como, por ejemplo, antivirus, sistemas de detección de intrusiones de red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas en los proveedores de software de seguridad, vaya a los sitios web de protecciones activas que proporcionan los asociados, enumeradas en Asociados de Microsoft Active Protections Program (MAPP).

Soporte técnico

Cómo obtener ayuda y soporte técnico para esta actualización de seguridad

• Ayuda para instalar actualizaciones: Soporte de Microsoft Update
• Soluciones de seguridad para profesionales de TI: Soporte técnico y solución de problemas de seguridad de TechNet
• Ayuda para proteger su equipo con Windows de virus y malware: Solución antivirus y centro de seguridad
• Soporte local según su país: Soporte internacional

Renuncia

La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantías de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones

• V1.0 (13 de mayo de 2014): Publicación del boletín.