Launch Printer Friendly Page Security TechCenter > Boletines de seguridad > Boletín de seguridad de Microsoft MS13-021

Boletín de seguridad de Microsoft MS13-021 - Crítica

Actualización de seguridad acumulativa para Internet Explorer (2809289)

Publicado:

Versión: 1.0

Información general

Resumen ejecutivo

Esta actualización de seguridad resuelve ocho vulnerabilidades de las que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

Esta actualización de seguridad se considera crítica para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9 e Internet Explorer 10 en clientes Windows y moderada para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9 e Internet Explorer 10 en servidores Windows. Para obtener más información, consulte la subsección Software afectado y no afectado, en esta sección.

La actualización de seguridad corrige las vulnerabilidades al modificar la manera en que Internet Explorer trata los objetos en memoria. Para obtener más información acerca de las vulnerabilidades, consulte la subsección Preguntas más frecuentes (P+F) de la entrada de vulnerabilidad específica en la sección siguiente, Información sobre la vulnerabilidad.

Recomendación. La mayoría de los clientes tiene habilitada la actualización automática y no debe realizar ninguna acción porque esta actualización de seguridad se descargará e instalará automáticamente. Los clientes que no han habilitado la actualización automática deben buscar las actualizaciones e instalar esta actualización manualmente. Para obtener información sobre las opciones de configuración específicas de la actualización automática, vea el artículo 294871 de Microsoft Knowledge Base.

Para administradores e instalaciones empresariales, o usuarios finales que deseen instalar esta actualización de seguridad manualmente, Microsoft recomienda que los clientes apliquen la actualización inmediatamente con el software de administración de actualizaciones o busquen las actualizaciones con el servicio Microsoft Update.

Vea también la sección Herramientas y consejos para la detección e implementación, más adelante en este boletín.

Artículo de Knowledge Base

Artículo de Knowledge Base2809289
Información sobre archivos
Valores hash SHA1/SHA2
Problemas conocidos

 

Software afectado y no afectado

El software siguiente se ha probado para determinar las versiones o ediciones que están afectadas. Otras versiones o ediciones han llegado al final de su ciclo de vida o no están afectadas. Para determinar el ciclo de vida del soporte técnico de su versión o edición de software, vea Ciclo de vida del soporte técnico de Microsoft.

Software afectado 

Sistema operativoComponenteRepercusión de seguridad máximaClasificación de gravedad acumuladaActualizaciones reemplazadas
Internet Explorer 6
Windows XP Service Pack 3Internet Explorer 6 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 6 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009
Windows Server 2003 Service Pack 2Internet Explorer 6 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 6 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009
Windows Server 2003 con SP2 para sistemas con ItaniumInternet Explorer 6 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009
Internet Explorer 7
Windows XP Service Pack 3Internet Explorer 7 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 7 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009
Windows Server 2003 Service Pack 2Internet Explorer 7 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 7 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009
Windows Server 2003 con SP2 para sistemas con ItaniumInternet Explorer 7 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009
Windows Vista Service Pack 2Internet Explorer 7 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009
Windows Vista x64 Edition Service Pack 2Internet Explorer 7 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009
Windows Server 2008 para sistemas de 32 bits Service Pack 2Internet Explorer 7 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009
Windows Server 2008 para sistemas x64 Service Pack 2Internet Explorer 7 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009
Windows Server 2008 para sistemas con Itanium Service Pack 2Internet Explorer 7 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009
Internet Explorer 8
Windows XP Service Pack 3Internet Explorer 8 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 8 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009
Windows Server 2003 Service Pack 2Internet Explorer 8 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 8 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009
Windows Vista Service Pack 2Internet Explorer 8 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009
Windows Vista x64 Edition Service Pack 2Internet Explorer 8 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009
Windows Server 2008 para sistemas de 32 bits Service Pack 2Internet Explorer 8 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009
Windows Server 2008 para sistemas x64 Service Pack 2Internet Explorer 8 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009
Windows 7 para sistemas de 32 bits Internet Explorer 8 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009 y 2797052 en MS13-010
Windows 7 para sistemas de 32 bits Service Pack 1Internet Explorer 8 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009 y 2797052 en MS13-010
Windows 7 para sistemas x64 Internet Explorer 8 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009 y 2797052 en MS13-010
Windows 7 para sistemas x64 Service Pack 1Internet Explorer 8 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009 y 2797052 en MS13-010
Windows Server 2008 R2 para sistemas x64 Internet Explorer 8 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009 y 2797052 en MS13-010
Windows Server 2008 R2 para sistemas x64 Service Pack 1Internet Explorer 8 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009 y 2797052 en MS13-010
Windows Server 2008 R2 para sistemas con Itanium Internet Explorer 8 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009 y 2797052 en MS13-010
Windows Server 2008 R2 para sistemas con Itanium Service Pack 1Internet Explorer 8 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009 y 2797052 en MS13-010
Internet Explorer 9
Windows Vista Service Pack 2Internet Explorer 9 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009
Windows Vista x64 Edition Service Pack 2Internet Explorer 9 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009
Windows Server 2008 para sistemas de 32 bits Service Pack 2Internet Explorer 9 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009
Windows Server 2008 para sistemas x64 Service Pack 2Internet Explorer 9 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009
Windows 7 para sistemas de 32 bits Internet Explorer 9 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009
Windows 7 para sistemas de 32 bits Service Pack 1Internet Explorer 9 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009
Windows 7 para sistemas x64 Internet Explorer 9 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009
Windows 7 para sistemas x64 Service Pack 1Internet Explorer 9 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009
Windows Server 2008 R2 para sistemas x64 Internet Explorer 9 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009
Windows Server 2008 R2 para sistemas x64 Service Pack 1Internet Explorer 9 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009
Internet Explorer 10
Windows 8 para sistemas de 32 bitsInternet Explorer 10 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009
Windows 8 para sistemas de 64 bits Internet Explorer 10 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009
Windows Server 2012Internet Explorer 10 
(2809289)
Ejecución remota de códigoModerada2792100 en MS13-009
Windows RTInternet Explorer 10[1] 
(2809289)
Ejecución remota de códigoCrítica2792100 en MS13-009

[1]Esta actualización está disponible a través de Windows Update.

Software no afectado

Sistema operativoComponente
Windows 7 para sistemas de 32 bits Service Pack 1Internet Explorer 10
Windows 7 para sistemas x64 Service Pack 1Internet Explorer 10
Windows Server 2008 R2 para sistemas x64 Service Pack 1Internet Explorer 10
Instalación de Server Core
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación Server Core)No aplicable
Windows Server 2008 para sistemas x64 Service Pack 2 (instalación Server Core)No aplicable
Windows Server 2008 R2 para sistemas x64 (instalación Server Core)No aplicable
Windows Server 2008 R2 para sistemas x64 Service Pack 1 (instalación Server Core)No aplicable
Windows Server 2012 (instalación Server Core)No aplicable

  

Preguntas más frecuentes sobre la actualización

Información sobre la vulnerabilidad

Gravedad e identificadores de vulnerabilidad

Varias vulnerabilidades en el uso después de la liberación en Internet Explorer

Información sobre la actualización

Herramientas y consejos para la detección e implementación

Implementación de la actualización de seguridad

Información adicional:

Agradecimientos

Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

  • Arseniy Akuney, de TELUS Security Labs, por informar de la vulnerabilidad en el uso de OnResize después de la liberación en Internet Explorer (CVE-2013-0087)
  • Un investigador anónimo, en colaboración con Zero Day Initiative de HP, por informar de la vulnerabilidad en el uso de saveHistory después de la liberación en Internet Explorer (CVE-2013-0088)
  • Un investigador anónimo, en colaboración con Zero Day Initiative de HP, por informar de la vulnerabilidad en el uso de CMarkupBehaviorContext después de la liberación en Internet Explorer (CVE-2013-0089)
  • Stephen Fewer de Harmony Security, por informar de la vulnerabilidad en el uso de CCaret después de la liberación en Internet Explorer (CVE-2013-0090)
  • SkyLined, por informar de la vulnerabilidad en el uso de CCaret después de la liberación en Internet Explorer (CVE-2013-0090)
  • José A. Vázquez, de Yenteasy - Security Research, en colaboración con Exodus Intelligence, por informar de la vulnerabilidad en el uso de CElement después de la liberación en Internet Explorer (CVE-2013-0091)
  • Aniway.Aniway@gmail.com, en colaboración con Zero Day Initiative de HP, por informar de la vulnerabilidad en el uso de GetMarkupPtr después de la liberación en Internet Explorer (CVE-2013-0092)
  • Aniway.Aniway@gmail.com, en colaboración con Zero Day Initiative de HP, por informar de la vulnerabilidad en el uso de onBeforeCopy después de la liberación en Internet Explorer (CVE-2013-0093)
  • Simon Zuckerbraun, en colaboración con Zero Day Initiative de HP, por informar de la vulnerabilidad en el uso de removeChild después de la liberación en Internet Explorer (CVE-2013-0094)
  • Gen Chen, de Venustech ADLab, por colaborar con nosotros en la vulnerabilidad en el uso de CTreeNode después de la liberación en Internet Explorer (CVE-2013-1288)
  • Qihoo 360 Security Center, por colaborar con nosotros en la vulnerabilidad en el uso de CTreeNode después de la liberación en Internet Explorer (CVE-2013-1288)

Microsoft Active Protections Program (MAPP)

Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. De este modo, los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como, por ejemplo, antivirus, sistemas de detección de intrusiones de red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas en los proveedores de software de seguridad, vaya a los sitios web de protecciones activas que proporcionan los asociados, enumeradas en Asociados de Microsoft Active Protections Program (MAPP).

Soporte técnico

Cómo obtener ayuda y soporte técnico para esta actualización de seguridad

Renuncia

La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantías de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones

  • V1.0 (12 de marzo de 2013): Publicación del boletín.