Launch Printer Friendly Page Security TechCenter > Boletines de seguridad > Boletín de seguridad de Microsoft MS13-035

Boletín de seguridad de Microsoft MS13-035 - Importante

Una vulnerabilidad en el componente de saneamiento de HTML podría permitir la elevación de privilegios (2821818)

Publicado:

Versión: 1.0

Información general

Resumen ejecutivo

Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la elevación de privilegios si un atacante envía un contenido especialmente diseñado a un usuario.

Esta actualización de seguridad se considera importante para las ediciones compatibles de Microsoft SharePoint Server 2010, Microsoft Groove Server 2010, Microsoft SharePoint Foundation 2010 y Microsoft Office Web Apps 2010. Para obtener más información, vea la subsección Software afectado y no afectado, en esta sección.

La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que se sanean las cadenas HTML. Para obtener más información acerca de la vulnerabilidad, consulte la subsección Preguntas más frecuentes (P+F) en la sección siguiente, Información sobre la vulnerabilidad.

Recomendación. Los clientes pueden configurar las actualizaciones automáticas para buscar en línea actualizaciones de Microsoft Update mediante el uso del servicio Microsoft Update. Los clientes que tienen habilitadas las actualizaciones automáticas y configuradas para buscar en línea actualizaciones de Microsoft Update normalmente no tienen que realizar ninguna acción porque esta actualización de seguridad se descargará e instalará automáticamente. Los clientes que no han habilitado las actualizaciones automáticas deben buscar las actualizaciones en Microsoft Update e instalar esta actualización manualmente. Para obtener información acerca de opciones de configuración específicas en las actualizaciones automáticas en ediciones compatibles de Windows XP y Windows Server 2003, vea el artículo 294871 de Microsoft Knowledge Base. Para obtener información acerca de las actualizaciones automáticas en las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2, vea Introducción a las actualizaciones automáticas de Windows.

Para administradores e instalaciones empresariales, o usuarios finales que deseen instalar esta actualización de seguridad manualmente, Microsoft recomienda que los clientes apliquen la actualización a la primera oportunidad con el software de administración de actualizaciones o busquen las actualizaciones con el servicio Microsoft Update.

Vea también la sección Herramientas y consejos para la detección e implementación, más adelante en este boletín.

Artículo de Knowledge Base

Artículo de Knowledge Base2821818
Información sobre archivos
Valores hash SHA1/SHA2
Problemas conocidos

Software afectado y no afectado

El software siguiente se ha probado para determinar las versiones o ediciones que están afectadas. Otras versiones o ediciones han llegado al final de su ciclo de vida o no están afectadas. Para determinar el ciclo de vida del soporte técnico de su versión o edición de software, vea Ciclo de vida del soporte técnico de Microsoft.

Software afectado

Microsoft Office  

SoftwareRepercusión de seguridad máximaClasificación de gravead acumuladaActualizaciones reemplazadas
Microsoft InfoPath 2010 Service Pack 1 (ediciones de 32 bits)
(2687422)
NingunaSin clasificación de gravedad[1]2687436 en MS12-066
Microsoft InfoPath 2010 Service Pack 1 (ediciones de 32 bits)
(2760406)
NingunaSin clasificación de gravedad[1]2687417 en MS12-066
Microsoft InfoPath 2010 Service Pack 1 (ediciones de 64 bits)
(2687422)
NingunaSin clasificación de gravedad[1]2687436 en MS12-066
Microsoft InfoPath 2010 Service Pack 1 (ediciones de 64 bits)
(2760406)
NingunaSin clasificación de gravedad[1]2687417 en MS12-066

[1]Las clasificaciones de gravedad no se aplican a esta actualización para el software especificado porque las vías de ataque conocidas para la vulnerabilidad están bloqueadas.

Software de servidor de Microsoft  

SoftwareComponenteRepercusión de seguridad máximaClasificación de gravead acumuladaActualizaciones reemplazadas
Microsoft SharePoint Server
Microsoft SharePoint Server 2010 Service Pack 1Microsoft SharePoint Server 2010 Service Pack 1 (wosrv)[1]
(2687421)
Elevación de privilegiosImportante2687435 en MS12-066
Microsoft SharePoint Server 2010 Service Pack 1Microsoft SharePoint Server 2010 Service Pack 1 (coreserver)[1]
(2760408)
Elevación de privilegiosImportante2589280 en MS12-066
Microsoft Groove Server
Microsoft Groove Server 2010 Service Pack 1
(2687424)
No aplicableElevación de privilegiosImportante2687402 en MS12-066
Microsoft SharePoint Foundation
Microsoft SharePoint Foundation 2010 Service Pack 1
(2810059)
No aplicableElevación de privilegiosImportante2687434 en MS12-066

[1]Para las ediciones compatibles de Microsoft SharePoint Server 2010, además de los paquetes de actualización de seguridad de Microsoft SharePoint 2010 (2687421 y 2760408), los clientes también deben instalar la actualización de seguridad para Microsoft SharePoint Foundation 2010 (2810059) con el fin de protegerse de las vulnerabilidades descritas en este boletín.

Microsoft Office Web Apps  

SoftwareComponenteRepercusión de seguridad máximaClasificación de gravead acumuladaActualizaciones reemplazadas
Microsoft Office Web Apps 2010 Service Pack 1
(2760777)
No aplicableElevación de privilegiosImportante2687401 en MS12-066

Software no afectado  

Office y otro software
Microsoft Groove 2007 Service Pack 2
Microsoft Groove 2007 Service Pack 3
Microsoft Groove Server 2007 Service Pack 2
Microsoft Groove Server 2007 Service Pack 3
Microsoft Groove Server 2013
Microsoft InfoPath 2003 Service Pack 3
Microsoft InfoPath 2007 Service Pack 2
Microsoft InfoPath 2007 Service Pack 3
Microsoft InfoPath 2013
Microsoft Speech Server 2004
Microsoft Speech Server 2004 R2
Microsoft Live Communications Server 2003
Microsoft Live Communications Server 2005 Service Pack 1
Microsoft SharePoint Server 2007 Service Pack 2 (ediciones de 32 bits)
Microsoft SharePoint Server 2007 Service Pack 3 (ediciones de 32 bits)
Microsoft SharePoint Server 2007 Service Pack 2 (ediciones de 64 bits)
Microsoft SharePoint Server 2007 Service Pack 3 (ediciones de 64 bits)
Microsoft SharePoint Server 2013
Microsoft SharePoint Foundation 2013
Microsoft SharePoint Portal Server 2003 Service Pack 3 (ediciones de 32 bits)
Microsoft SharePoint Portal Server 2003 Service Pack 3 (ediciones de 64 bits)
Microsoft Windows SharePoint Services 2.0 (ediciones de 32 bits)
Microsoft Windows SharePoint Services 2.0 (ediciones de 64 bits)
Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versión de 32 bits):
Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versión de 64 bits):
Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versión de 32 bits)
Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versión de 64 bits)
Microsoft SharePoint Workspace 2010 Service Pack 1 (ediciones de 32 bits)
Microsoft SharePoint Workspace 2010 Service Pack 1 (ediciones de 64 bits)
Microsoft SharePoint Workspace 2013 (ediciones de 32 bits)
Microsoft SharePoint Workspace 2013 (ediciones de 64 bits)

Preguntas más frecuentes sobre la actualización

Información sobre la vulnerabilidad

Gravedad e identificadores de vulnerabilidad

Vulnerabilidad de saneamiento de HTML (CVE-2013-1289)

Información sobre la actualización

Herramientas y consejos para la detección e implementación

Implementación de la actualización de seguridad

Información adicional:

Agradecimientos

Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

  • Drew Hintz y Andrew Lyons, de Google Security Team, por informar de la vulnerabilidad de saneamiento de HTML (CVE-2013-1289)

Microsoft Active Protections Program (MAPP)

Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. De este modo, los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como, por ejemplo, antivirus, sistemas de detección de intrusiones de red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas en los proveedores de software de seguridad, vaya a los sitios web de protecciones activas que proporcionan los asociados, enumeradas en Asociados de Microsoft Active Protections Program (MAPP).

Soporte técnico

Cómo obtener ayuda y soporte técnico para esta actualización de seguridad

Renuncia

La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantías de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones

  • V1.0 (9 de abril de 2013): Publicación del boletín.