Artículo
08/12/2023

Boletín de seguridad

Boletín de seguridad de Microsoft MS04-011: Crítico

Actualización de seguridad para Microsoft Windows (835732)

Publicado: 13 de abril de 2004 | Actualizado: 10 de agosto de 2004

Versión: 2.1

Emitido: 13 de abril de 2004
Actualizado: 10 de agosto de 2004
Versión: 2.1

Resumen

Quién debe leer este documento: Clientes que usan Microsoft® Windows®

Impacto de la vulnerabilidad: Ejecución remota de código

Clasificación de gravedad máxima: Crítico

Recomendación: Los clientes deben aplicar la actualización inmediatamente.

Reemplazo de actualizaciones de seguridad: este boletín reemplaza varias actualizaciones de seguridad anteriores. Consulte la sección de preguntas más frecuentes (P+F) de este boletín para obtener la lista completa.

Advertencias: La actualización de seguridad de Windows NT Server 4.0 Terminal Server Edition Service Pack 6 requiere, como requisito previo, el paquete acumulativo de seguridad de Windows NT Server 4.0 Terminal Server Edition (SRP). Para descargar el SRP, visite el siguiente sitio web. Debe instalar el SRP antes de instalar la actualización de seguridad que se proporciona en este boletín de seguridad. Si no usa Windows NT Server 4.0 Terminal Server Edition Service Pack 6, no es necesario instalar el SRP.

El artículo de Microsoft Knowledge Base 835732 documenta los problemas conocidos que los clientes pueden experimentar al instalar esta actualización de seguridad. En el artículo también se documentan soluciones recomendadas para estos problemas. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 835732.

Ubicaciones de descarga de actualizaciones de software y seguridad probadas:

Software afectado:

Microsoft Windows NT® Workstation 4.0 Service Pack 6a: descargar la actualización
Microsoft Windows NT Server 4.0 Service Pack 6a: descargar la actualización
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6: descargar la actualización
Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3 y Microsoft Windows 2000 Service Pack 4: descargar la actualización
Microsoft Windows XP y Microsoft Windows XP Service Pack 1: descargar la actualización
Microsoft Windows XP 64-Bit Edition Service Pack 1- Descargar la actualización
Microsoft Windows XP 64-Bit Edition versión 2003: descargar la actualización
Microsoft Windows Server™ 2003: descargar la actualización
Microsoft Windows Server 2003 64-Bit Edition: descargar la actualización
Microsoft NetMeeting
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) y Microsoft Windows Millennium Edition (ME): revise la sección de preguntas más frecuentes de este boletín para obtener más información sobre estos sistemas operativos.

El software enumerado anteriormente se ha probado para determinar si las versiones se ven afectadas. Otras versiones ya no incluyen compatibilidad con actualizaciones de seguridad o pueden no verse afectadas. Para determinar el ciclo de vida de soporte técnico para el producto y la versión, visite el siguiente sitio web de ciclo de vida de Soporte técnico de Microsoft.

Información general

Detalles técnicos

Resumen ejecutivo:

Microsoft volvió a emitir este boletín el 15 de junio de 2004 para informar sobre la disponibilidad de una actualización actualizada de la estación de trabajo de Windows NT 4.0 para el idioma pan chino.

Esta actualización revisada corrige un problema de instalación que algunos clientes experimentaron con la actualización original. Este problema no está relacionado con la vulnerabilidad de seguridad que se describe en este boletín. Sin embargo, este problema ha provocado que algunos clientes tengan dificultades para instalar la actualización. Si ha aplicado anteriormente esta actualización de seguridad, esta actualización debe instalarse para evitar posibles problemas al instalar actualizaciones de seguridad futuras. Este problema solo afecta a la versión del idioma chino pan de la actualización y solo se vuelven a publicar esas versiones de la actualización. Otras versiones de lenguaje de esta actualización no se ven afectadas y no se vuelven a publicar.

Esta actualización resuelve varias vulnerabilidades recién detectadas. Cada vulnerabilidad se documenta en este boletín en su propia sección.

Un atacante que aprovechara correctamente las vulnerabilidades más graves de estas vulnerabilidades podría tomar el control completo de un sistema afectado, incluidos los programas de instalación; ver, cambiar o eliminar datos; o crear cuentas que tengan privilegios completos.

Microsoft recomienda que los clientes apliquen la actualización inmediatamente.

Clasificaciones de gravedad e identificadores de vulnerabilidad:

Identificadores de vulnerabilidad	Impacto de la vulnerabilidad	Windows 98, 98 SE, ME	Windows NT 4,0	Windows 2000	Windows XP	Windows Server 2003
Vulnerabilidad de LSASS: CAN-2003-0533	Ejecución remota de código	None	None	Crítico	Crítico	Bajo
Vulnerabilidad LDAP: CAN-2003-0663	Denegación de servicio	None	None	Importante	None	None
Vulnerabilidad del PCT - CAN-2003-0719	Ejecución remota de código	None	Crítico	Crítico	Importante	Bajo
Vulnerabilidad de Winlogon: CAN-2003-0806	Ejecución remota de código	None	Moderado	Moderado	Moderado	None
Vulnerabilidad del metarchivo: CAN-2003-0906	Ejecución remota de código	None	Crítico	Crítico	Crítico	None
Vulnerabilidad del Centro de ayuda y soporte técnico: CAN-2003-0907	Ejecución remota de código	None	None	None	Crítico	Crítico
Vulnerabilidad del Administrador de utilidades : CAN-2003-0908	Elevación de privilegios	None	None	Importante	None	None
Vulnerabilidad de administración de Windows: CAN-2003-0909	Elevación de privilegios	None	None	None	Importante	None
Vulnerabilidad de la tabla de descriptores locales: CAN-2003-0910	Elevación de privilegios	None	Importante	Importante	None	None
Vulnerabilidad H.323* - CAN-2004-0117	Ejecución remota de código	No crítico	None	Importante	Importante	Importante
Vulnerabilidad de la máquina VIRTUAL DOS: CAN-2004-0118	Elevación de privilegios	None	Importante	Importante	None	None
Negociar vulnerabilidad de SSP: CAN-2004-0119	Ejecución remota de código	None	None	Crítico	Crítico	Crítico
Vulnerabilidad de SSL: CAN-2004-0120	Denegación de servicio	None	None	Importante	Importante	Importante
Vulnerabilidad "Doble libre" de ASN.1: CAN-2004-0123	Ejecución remota de código	No crítico	Crítico	Crítico	Crítico	Crítico
Gravedad agregada de todas las vulnerabilidades		No crítico	Crítica	Crítica	Crítica	Crítica

*Nota La clasificación de gravedad de la vulnerabilidad H.323 - CAN-2004-0117 es importante para la versión independiente de NetMeeting. Para descargar una versión actualizada de NetMeeting que soluciona esta vulnerabilidad, visite el siguiente sitio web. Esta versión de NetMeeting se puede instalar en todos los sistemas que ejecutan Windows 98, Windows 98 Second Edition, Windows Millennium Edition y Windows NT 4.0. La versión actualizada de NetMeeting que aborda esta vulnerabilidad es la versión 3.01 (4.4.3399).

La evaluación anterior se basa en los tipos de sistemas afectados por la vulnerabilidad, sus patrones de implementación típicos y el efecto que la vulnerabilidad tendría en ellos.

¿Por qué Microsoft ha vuelto a emitir este boletín?
Microsoft volvió a emitir este boletín el 15 de junio de 2004 para informar sobre la disponibilidad de una actualización actualizada de la estación de trabajo de Windows NT 4.0 para el idioma pan chino.

¿Por qué esta actualización aborda varias vulnerabilidades de seguridad notificadas?
Esta actualización contiene compatibilidad con varias vulnerabilidades porque las modificaciones necesarias para solucionar estos problemas se encuentran en archivos relacionados. En lugar de tener que instalar varias actualizaciones que contienen archivos casi idénticos, los clientes solo pueden instalar esta actualización.

¿Qué actualizaciones reemplaza esta versión?
Esta actualización de seguridad reemplaza varios boletines de seguridad anteriores. Los identificadores de boletín de seguridad y los sistemas operativos que se ven afectados se enumeran en la tabla siguiente.

Identificador de boletín	Windows NT 4,0	Windows 2000	Windows XP	Windows Server 2003
MS99-023	Replaced	No es aplicable	No es aplicable	No es aplicable
MS00-027	No reemplazado	Replaced	No es aplicable	No es aplicable
MS00-032	No es aplicable	Replaced	No es aplicable	No es aplicable
MS00-070	No reemplazado	Replaced	No es aplicable	No es aplicable
MS02-050	Replaced	No reemplazado	No reemplazado	No es aplicable
MS02-051	No es aplicable	Replaced	No reemplazado	No es aplicable
MS02-071	Replaced	Replaced	No reemplazado	No es aplicable
MS03-007	No reemplazado	Replaced	No reemplazado	No es aplicable
MS03-013	Replaced	Replaced	No reemplazado	No es aplicable
MS03-025	No es aplicable	Replaced	No es aplicable	No es aplicable
MS03-041	Replaced	No reemplazado	No reemplazado	No reemplazado
MS03-045	Replaced	Replaced	No reemplazado	No reemplazado
MS04-007	Replaced	Replaced	Replaced	Replaced

¿Esta actualización es una actualización acumulativa de seguridad o una acumulación de actualizaciones de seguridad?
Ninguno. Normalmente, una actualización de seguridad acumulativa incluiría compatibilidad con todas las actualizaciones anteriores. Esta actualización no incluye compatibilidad con todas las actualizaciones anteriores en todos los sistemas operativos.

Normalmente, una acumulación de actualizaciones de seguridad se usa para combinar versiones anteriores en una sola actualización para permitir una instalación más sencilla y una descarga más rápida. Los paquetes acumulativos de actualizaciones de seguridad normalmente no incluyen modificaciones para abordar nuevas vulnerabilidades; esta actualización lo hace.

¿Cómo afecta la compatibilidad extendida con Windows 98, Windows 98 Second Edition y Windows Millennium Edition la versión de actualizaciones de seguridad para estos sistemas operativos?
Microsoft solo publicará actualizaciones de seguridad para problemas críticos de seguridad. Los problemas de seguridad no críticos no se ofrecen durante este período de soporte técnico. Para obtener más información sobre las directivas de ciclo de vida de Soporte técnico de Microsoft para estos sistemas operativos, visite el siguiente sitio web.

Para obtener más información sobre las clasificaciones de gravedad, visite el siguiente sitio web.

¿Windows 98, Windows 98 Second Edition o Windows Millennium Edition se ven afectados críticamente por cualquiera de las vulnerabilidades que se tratan en este boletín de seguridad?
No. Ninguna de estas vulnerabilidades es crítica en gravedad en Windows 98, en Windows 98 Second Edition o en Windows Millennium Edition.

¿Esta actualización contiene otros cambios en la funcionalidad?
Sí. Además de los cambios que aparecen en cada una de las secciones de detalles de vulnerabilidad de este boletín, esta actualización incluye el siguiente cambio en la funcionalidad: los archivos que terminan con la extensión de nombre de archivo ".folder" ya no están asociados a un directorio. Los archivos que tienen esta extensión siguen siendo compatibles con el sistema operativo afectado. Sin embargo, esos archivos ya no aparecerán como un directorio en el Explorador de Windows y en otros programas.

¿Puedo usar microsoft Baseline Security Analyzer (MBSA) para determinar si se requiere esta actualización?
Sí. MBSA determinará si se requiere esta actualización. Sin embargo, MBSA no admite actualmente la versión independiente de NetMeeting para la detección. MBSA no ofrecerá la actualización necesaria a la versión independiente de NetMeeting si se ha instalado en sistemas Windows NT 4.0. Para descargar la versión independiente actualizada de NetMeeting que aborda la vulnerabilidad H.323 (CAN-2004-0117), visite el siguiente sitio web. MBSA detecta si la actualización de la vulnerabilidad H.323 (CAN-2004-0117) es necesaria para la versión de NetMeeting que se incluye como parte de Windows 2000, Windows XP o Windows Server 2003.

Para obtener más información sobre la vulnerabilidad H.323 (CAN-2004-0117), consulte esa sección de detalles de vulnerabilidad de este boletín. Para obtener más información sobre MBSA, visite el sitio web de MBSA. Para obtener más información sobre las limitaciones de detección de MBSA, consulte el artículo 306460 de Microsoft Knowledge Base.

¿Cómo ha cambiado este cambio a partir de la publicación inicial del boletín?
Cuando el boletín se publicó el 13 de abril de 2004, la detección de MBSA para esta actualización de seguridad se deshabilitó para Windows NT 4.0 debido a la falta de compatibilidad de detección con la versión independiente de NetMeeting que se describió anteriormente en este boletín. Esto cambió el 21 de abril de 2004. MBSA detectará ahora si esta actualización de seguridad es necesaria para Windows NT 4.0 aunque esta limitación exista.

¿Puedo usar Systems Management Server (SMS) para determinar si esta actualización es necesaria?
Sí. SMS puede ayudar a detectar e implementar esta actualización de seguridad. Para obtener información sobre SMS, visite el sitio web de SMS. SMS usa MBSA para la detección; por lo tanto, SMS tiene la misma limitación enumerada anteriormente en este boletín relacionada con la versión independiente de NetMeeting.

¿Puedo usar Systems Management Server (SMS) para determinar si la versión independiente de NetMeeting se ha instalado en sistemas Windows NT 4.0?
Sí. SMS puede ayudar a detectar si se requiere la versión independiente actualizada de NetMeeting para los sistemas Windows NT 4.0. SMS puede buscar la presencia del archivo "Conf.exe". Todas las versiones anteriores a la versión 3.01 (4.4.3399) deben actualizarse.

Detalles de vulnerabilidad

Vulnerabilidad de LSASS - CAN-2003-0533:

Existe una vulnerabilidad de saturación del búfer en LSASS que podría permitir la ejecución remota de código en un sistema afectado. Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo del sistema afectado.

Mitigación de factores para la vulnerabilidad de LSASS - CAN-2003-0533:

Solo un usuario anónimo puede atacar de forma remota Windows 2000 y Windows XP. Aunque Windows Server 2003 y Windows XP 64-Bit Edition versión 2003 contienen la vulnerabilidad, solo un administrador local podría aprovecharla.
Windows NT 4.0 no se ve afectado por esta vulnerabilidad.
Los procedimientos recomendados de firewall y las configuraciones de firewall predeterminadas estándar pueden ayudar a proteger las redes frente a ataques que se originan fuera del perímetro de la empresa. Los procedimientos recomendados recomiendan que los sistemas conectados a Internet tengan un número mínimo de puertos expuestos.

Soluciones alternativas para la vulnerabilidad de LSASS: CAN-2003-0533:

Microsoft ha probado las siguientes soluciones alternativas. Aunque estas soluciones alternativas no corregirán la vulnerabilidad subyacente, ayudan a bloquear vectores de ataque conocidos. Cuando una solución alternativa reduce la funcionalidad, se identifica a continuación.

Cree un archivo denominado %systemroot%\debug\dcpromo.log y haga que el archivo sea de solo lectura. Para ello, escriba el siguiente comando:

echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log

Nota Esta es la técnica de mitigación más eficaz, ya que mitiga completamente esta vulnerabilidad haciendo que el código vulnerable no se ejecute nunca. Esta solución alternativa funcionará para los paquetes enviados a cualquier puerto vulnerable.
Use un firewall personal como InternetConectar ion Firewall, que se incluye con Windows XP y Windows Server 2003.

Si usa la característica Firewall de Conectar ion de Internet en Windows XP o en Windows Server 2003 para ayudar a proteger la conexión a Internet, bloquea el tráfico entrante no solicitado de forma predeterminada. Microsoft recomienda bloquear todas las comunicaciones entrantes no solicitadas desde Internet.

Para habilitar la característica Firewall de Conectar ion de Internet mediante el Asistente para configuración de red, siga estos pasos:
1. Haga clic en Inicio y, a continuación, en Panel de control.
2. En la vista de categoría predeterminada, haga clic en Red e Internet Conectar ions y, a continuación, haga clic en Configurar o cambiar la red principal o pequeña de la oficina. La característica Firewall de Conectar ion de Internet está habilitada al seleccionar una configuración en el Asistente para configuración de red que indica que el sistema está conectado directamente a Internet.
Para configurar el firewall de Conectar ion de Internet manualmente para una conexión, siga estos pasos:
1. Haga clic en Inicio y, a continuación, en Panel de control.
2. En la vista de categorías predeterminada, haga clic en Redes e Internet Conectar ionsy, a continuación, haga clic en Red Conectar ions.
3. Haga clic con el botón derecho en la conexión en la que desea habilitar Firewall de Conectar ion de Internet y, a continuación, haga clic en Propiedades.
4. Haga clic en la pestaña Opciones avanzadas.
5. Haga clic para seleccionar la casilla Proteger mi equipo o red limitando o evitando el acceso a este equipo desde Internet y, a continuación, haga clic en Aceptar.
Nota Si desea habilitar el uso de algunos programas y servicios a través del firewall, haga clic en Configuración en la pestaña Avanzadas y, a continuación, seleccione los programas, protocolos y servicios necesarios.
Bloquee lo siguiente en el firewall:
- Puertos UDP 135, 137, 138 y 445 y puertos TCP 135, 139, 445 y 593
- Todo el tráfico entrante no solicitado en los puertos superiores a 1024
- Cualquier otro puerto RPC configurado específicamente
Estos puertos se usan para iniciar una conexión con RPC. Bloquearlos en el firewall ayudará a evitar que los sistemas que están detrás de ese firewall intenten aprovechar esta vulnerabilidad. Además, asegúrese de bloquear cualquier otro puerto RPC configurado específicamente en el sistema remoto. Microsoft recomienda bloquear todas las comunicaciones entrantes no solicitadas desde Internet para ayudar a evitar ataques que pueden usar otros puertos. Para obtener más información sobre los puertos que usa RPC, visite el siguiente sitio web.
Habilite el filtrado avanzado de TCP/IP en sistemas que admiten esta característica.

Puede habilitar el filtrado avanzado de TCP/IP para bloquear todo el tráfico entrante no solicitado. Para obtener más información sobre cómo configurar el filtrado TCP/IP, consulte el artículo de Microsoft Knowledge Base 309798.
Bloquee los puertos afectados mediante IPSec en los sistemas afectados.

Use La seguridad del protocolo de Internet (IPSec) para ayudar a proteger las comunicaciones de red. La información detallada sobre IPSec y cómo aplicar filtros está disponible en los artículos 313190 y 813878 de Microsoft Knowledge Base.

Preguntas más frecuentes sobre la vulnerabilidad de LSASS - CAN-2003-0533:

¿Cuál es el ámbito de la vulnerabilidad?
Se trata de una vulnerabilidad de saturación del búfer. Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado, incluida la instalación de programas; ver, cambiar o eliminar datos; o crear cuentas que tengan privilegios completos.

¿Qué causa la vulnerabilidad?
Búfer no activado en el servicio LSASS.

¿Qué es LSASS?
El servicio subsistema de autoridad de seguridad local (LSASS) proporciona una interfaz para administrar los procesos locales de seguridad, autenticación de dominio y Active Directory. Controla la autenticación para el cliente y para el servidor. También contiene características que se usan para admitir utilidades de Active Directory.

¿Qué podría hacer un atacante para usar la vulnerabilidad?
Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo del sistema afectado.

Quién podría aprovechar la vulnerabilidad?
En Windows 2000 y Windows XP, cualquier usuario anónimo que pudiera entregar un mensaje especialmente diseñado al sistema afectado podría intentar aprovechar esta vulnerabilidad.

¿Cómo podría un atacante aprovechar esta vulnerabilidad?
Un atacante podría aprovechar la vulnerabilidad creando un mensaje especialmente diseñado y enviando el mensaje a un sistema afectado, lo que podría hacer que el sistema afectado ejecute código.

Un atacante también podría acceder al componente afectado a través de otro vector. Por ejemplo, un atacante podría iniciar sesión en el sistema de forma interactiva o mediante otro programa que pasa parámetros al componente vulnerable (local o remotamente).

¿Qué sistemas están principalmente en riesgo de la vulnerabilidad?
Windows 2000 y Windows XP están principalmente en riesgo de esta vulnerabilidad.

Windows Server 2003 y Windows XP 64-Bit Edition versión 2003 proporcionan protección adicional que requeriría que un administrador inicie sesión localmente en un sistema afectado para aprovechar esta vulnerabilidad.

¿Qué hace la actualización?
La actualización quita la vulnerabilidad modificando la forma en que LSASS valida la longitud de un mensaje antes de pasar el mensaje al búfer asignado.

Esta actualización también quita el código vulnerable de Windows 2000 Professional y de Windows XP porque estos sistemas operativos no requieren la interfaz vulnerable. Esto ayuda a protegerse frente a posibles vulnerabilidades futuras en este servicio.

Vulnerabilidad LDAP: CAN-2003-0663:

Existe una vulnerabilidad de denegación de servicio que podría permitir que un atacante envíe un mensaje LDAP especialmente diseñado a un controlador de dominio de Windows 2000. Un atacante podría hacer que el servicio responsable de autenticar a los usuarios en un dominio de Active Directory dejara de responder.

Mitigación de factores para la vulnerabilidad LDAP: CAN-2003-0663:

Para aprovechar esta vulnerabilidad, un atacante tendría que enviar un mensaje LDAP especialmente diseñado al controlador de dominio. Si un firewall no bloquea los puertos LDAP, un atacante no requeriría privilegios adicionales para aprovechar esta vulnerabilidad.
Esta vulnerabilidad solo afecta a los controladores de dominio de Windows 2000 Server; Los controladores de dominio de Windows Server 2003 no se ven afectados.
Windows NT 4.0 y Windows XP no se ven afectados por esta vulnerabilidad.
Si un atacante aprovecha correctamente esta vulnerabilidad, el sistema afectado podría mostrar una advertencia de que se reiniciaría automáticamente después de una cuenta atrás de 60 segundos. Al final de esta cuenta atrás de 60 segundos, el sistema afectado se reiniciaría automáticamente. Después del reinicio, el sistema afectado se restauraría a la funcionalidad normal. Sin embargo, el sistema afectado podría ser susceptible a un nuevo ataque de denegación de servicio a menos que se aplique la actualización.
Los procedimientos recomendados de firewall y las configuraciones de firewall predeterminadas estándar pueden ayudar a proteger las redes frente a ataques que se originan fuera del perímetro empresarial. Los procedimientos recomendados recomiendan que los sistemas conectados a Internet tengan un número mínimo de puertos expuestos.

Soluciones alternativas para la vulnerabilidad ldap: CAN-2003-0663:

Bloquee los puertos TCP LDAP 389, 636, 3268 y 3269 en el firewall.

Estos puertos se usan para iniciar una conexión LDAP con un controlador de dominio de Windows 2000. Bloquearlos en el firewall ayudará a evitar que los sistemas que están detrás de ese firewall intenten aprovechar esta vulnerabilidad que se origina fuera del perímetro de la empresa. Aunque se podrían usar otros puertos para aprovechar esta vulnerabilidad, los puertos enumerados son los vectores de ataque más comunes. Microsoft recomienda bloquear todas las comunicaciones entrantes no solicitadas desde Internet para ayudar a evitar ataques que pueden usar otros puertos.

Impacto de la solución alternativa: la autenticación de dominio de Active Directory no será posible a través de una conexión de red donde se bloquean estos puertos.

Preguntas más frecuentes sobre vulnerabilidad de LDAP: CAN-2003-0663:

¿Cuál es el ámbito de la vulnerabilidad?

Se trata de una vulnerabilidad de denegación de servicio . Un atacante que aprovechara esta vulnerabilidad podría hacer que el servidor se reinicie automáticamente y, durante ese tiempo, detenga que el servidor responda a las solicitudes de autenticación. Esta vulnerabilidad existe en los sistemas de Windows 2000 Server que realizan el rol de un controlador de dominio. El único efecto en otros sistemas windows 2000 es que es posible que los clientes no puedan iniciar sesión en el dominio si su controlador de dominio deja de responder.

¿Qué causa la vulnerabilidad?

El procesamiento de mensajes LDAP diseñados especialmente por el servicio subsistema de la autoridad de seguridad local (LSASS).

¿Qué es LDAP?

El Protocolo ligero de acceso a directorios (LDAP) es un protocolo estándar del sector que permite a los usuarios autorizados consultar o modificar los datos en un metadirectorio. Por ejemplo, en Windows 2000, LDAP es un protocolo que se usa para acceder a los datos de Active Directory.

¿Qué ocurre con la forma en que se controlan los mensajes LDAP especialmente diseñados?

Un atacante podría enviar un mensaje LDAP especialmente diseñado al servicio LSASS y hacer que deje de responder.

¿Qué es LSASS?

El servicio subsistema de autoridad de seguridad local (LSASS) proporciona una interfaz para administrar los procesos locales de seguridad, autenticación de dominio y Active Directory. Controla la autenticación para el cliente y para el servidor. También contiene características que se usan para admitir utilidades de Active Directory.

¿Qué podría hacer un atacante para usar la vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría hacer que LSASS dejara de responder y el sistema afectado se reiniciara. El sistema afectado podría mostrar una advertencia de que se reiniciaría automáticamente después de una cuenta atrás de 60 segundos. Durante este recuento de 60 segundos, la autenticación local en la consola del sistema afectado y la autenticación de dominio de usuario con el sistema afectado no sería posible. Al final de esta cuenta atrás de 60 segundos, el sistema afectado se reiniciaría automáticamente. Si los usuarios no pueden realizar la autenticación de dominio con el sistema afectado, es posible que no puedan acceder a los recursos de dominio. Después del reinicio, el sistema afectado se restauraría a la funcionalidad normal. Sin embargo, podría ser susceptible a un nuevo ataque de denegación de servicio a menos que se aplique la actualización.

Quién podría aprovechar la vulnerabilidad?

Cualquier usuario anónimo que pudiera entregar el mensaje LDAP diseñado especialmente al sistema afectado podría aprovechar esta vulnerabilidad.

¿Cómo podría un atacante aprovechar la vulnerabilidad?

Un atacante podría aprovechar esta vulnerabilidad mediante el envío de un mensaje LDAP especialmente diseñado a los controladores de dominio en un único bosque o varios bosques, lo que podría provocar una denegación de servicio a la autenticación de dominio en toda una empresa. Esto podría hacer que LSASS deje de responder y haga que el sistema afectado se reinicie. Un atacante no tiene que tener una cuenta de usuario válida en el dominio para enviar este mensaje LDAP especialmente diseñado. Este ataque se puede realizar mediante el acceso anónimo.

¿Qué sistemas están principalmente en riesgo de la vulnerabilidad?

Solo los controladores de dominio de Windows 2000 son vulnerables.

Estoy ejecutando Windows 2000. ¿Qué sistemas tengo que actualizar?

La actualización para solucionar esta vulnerabilidad debe instalarse en sistemas que se usan como controladores de dominio de Windows 2000. Sin embargo, la actualización se puede instalar de forma segura en servidores de Windows 2000 en otros roles. Microsoft recomienda instalar esta actualización en sistemas que podrían promoverse a controladores de dominio en el futuro.

¿Qué hace la actualización?

La actualización quita la vulnerabilidad modificando la forma en que LSASS procesa el mensaje LDAP especialmente diseñado.

Vulnerabilidad del PCT - CAN-2003-0719:

Existe una vulnerabilidad de saturación del búfer en el protocolo transporte de comunicaciones privadas (PCT), que forma parte de la biblioteca de Capa de sockets seguros (SSL) de Microsoft. Solo los sistemas que tienen SSL habilitado y, en algunos casos, los controladores de dominio de Windows 2000 son vulnerables. Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado.

Mitigación de factores para la vulnerabilidad del PCT - CAN-2003-0719:

Solo los sistemas que han habilitado SSL se ven afectados, normalmente solo los sistemas de servidor. La compatibilidad con SSL no está habilitada de forma predeterminada en ninguno de los sistemas afectados. Sin embargo, SSL se usa generalmente en servidores web para admitir programas de comercio electrónico, banca en línea y otros programas que requieren comunicaciones seguras.
Windows Server 2003 solo es vulnerable a este problema si un administrador ha habilitado PCT manualmente (incluso si SSL se ha habilitado).
En algunas situaciones, las características de publicación web de ISA Server 2000 o Proxy Server 2.0 pueden bloquear correctamente los intentos de aprovechar esta vulnerabilidad. Las pruebas han demostrado que las características de publicación web de ISA Server 2000, con el filtrado de paquetes habilitado y todas las opciones de filtrado de paquetes seleccionadas pueden bloquear correctamente este ataque sin efectos secundarios notables. Proxy Server 2.0 también bloquea correctamente este ataque. Sin embargo, hasta que se aplique la actualización de seguridad en el sistema proxy Server 2.0, este ataque hace que los servicios web del servidor proxy 2.0 detengan la respuesta y se debe reiniciar el sistema.
Los procedimientos recomendados de firewall y las configuraciones de firewall predeterminadas estándar pueden ayudar a proteger las redes frente a ataques que se originan fuera del perímetro de la empresa. Los procedimientos recomendados recomiendan que los sistemas conectados a Internet tengan un número mínimo de puertos expuestos.

Soluciones alternativas para la vulnerabilidad del PCT - CAN-2003-0719:

Deshabilitar la compatibilidad con PCT a través del Registro

Esta solución alternativa está totalmente documentada en el artículo de Microsoft Knowledge Base 187498. Este artículo se resume a continuación.

Los siguientes pasos muestran cómo deshabilitar el protocolo PCT 1.0 que impide que el sistema afectado negocia su uso.

Nota El uso incorrecto del Editor del Registro puede causar problemas graves que pueden requerir que vuelva a instalar el sistema operativo. Microsoft no puede garantizar que puedan solucionarse los problemas derivados del uso incorrecto del Editor del Registro. Use el Editor del Registro bajo su propia responsabilidad.

Para obtener información sobre cómo editar el Registro, vea el tema de ayuda "Cambiar claves y valores" en el Editor del Registro (Regedit.exe) o los temas de ayuda "Agregar y eliminar información en el Registro" y "Editar datos del Registro" en Regedt32.exe.

Nota Es una buena idea hacer una copia de seguridad del registro antes de editarlo.
1. Haga clic en Inicio, haga clic en Ejecutar, escriba "regedt32" (sin las comillas) y, a continuación, haga clic en Aceptar.
2. En el Editor del Registro, busque la siguiente clave del Registro:
  
  HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server
3. En el menú Editar , haga clic en Agregar valor para crear un nuevo valor de REG_DWORD denominado "Habilitado" en la subclave Servidor .
4. En la lista Tipo de datos, haga clic en REG_DWORD.
5. En el cuadro de texto Nombre de valor, escriba "Habilitado" (sin las comillas) y, a continuación, haga clic en Aceptar.
  
  Nota Si este valor ya está presente, haga doble clic en el valor para editar su valor actual y, a continuación, vaya al paso 6.
6. En el Editor binario, establezca el nuevo valor de claves en igual a 0 escribiendo la siguiente cadena: 000000000.
7. Haga clic en Aceptar y, a continuación, reinicie el sistema.
  
  Nota Para habilitar PCT, cambie el valor de la clave del Registro habilitado a 00000001 y, a continuación, reinicie el sistema.
  
  Nota Si usa Windows XP RTM, también debe crear una segunda clave del Registro para deshabilitar completamente PCT. Esto no es necesario en versiones posteriores de Windows XP u otros sistemas operativos afectados. Use las instrucciones proporcionadas anteriormente y cree un segundo valor REG_DWORD denominado "Client". Use los mismos valores que se documentan anteriormente.

Preguntas más frecuentes sobre la vulnerabilidad del PCT - CAN-2003-0719:

¿Cuál es el ámbito de la vulnerabilidad?

Todos los programas que usan SSL podrían verse afectados. Aunque SSL suele estar asociado a Internet Information Services mediante HTTPS y el puerto 443, es probable que cualquier servicio que implemente SSL en una plataforma afectada sea vulnerable. Esto incluye, entre otros, Microsoft Internet Information Services 4.0, Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000, Microsoft Exchange Server 2003, Microsoft Analysis Services 2000 (incluido con SQL Server 2000) y cualquier programa de terceros que use PCT. SQL Server 2000 no es vulnerable porque bloquea específicamente las conexiones PCT.

Windows Server 2003 e Internet Information Services 6.0 solo son vulnerables a este problema si un administrador ha habilitado manualmente PCT (incluso si SSL se ha habilitado).

Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado, incluida la instalación de programas; ver, cambiar o eliminar datos; o crear cuentas que tengan privilegios completos.

¿Qué causa la vulnerabilidad?

Proceso usado por la biblioteca SSL para comprobar las entradas del mensaje.

¿Qué es la biblioteca SSL?

La biblioteca Microsoft Secure Sockets Layer (SSL) contiene compatibilidad con varios protocolos de comunicación seguros. Estos incluyen seguridad de la capa de transporte 1.0 (TLS 1.0), capa de sockets seguros 3.0 (SSL 3.0) y el protocolo Capa de sockets seguros 2.0 (SSL 2.0) y tecnología de comunicación privada 1.0 (PCT 1.0).

Estos protocolos proporcionan una conexión cifrada entre un servidor y un sistema cliente. SSL puede ayudar a proteger la información cuando se transmite a través de redes públicas, como Internet. La compatibilidad con SSL requiere un certificado SSL, que debe instalarse en un servidor. Para obtener más información sobre SSL, consulte el artículo de Microsoft Knowledge Base 245152.

¿Qué es PCT?

Private Communication Technology (PCT) es un protocolo desarrollado por Microsoft y Visa International para la comunicación cifrada en Internet. Se desarrolló como alternativa a SSL 2.0. Es similar a SSL. Los formatos de mensaje son lo suficientemente similares como para que un servidor pueda interactuar con los clientes que admiten SSL, así como con los clientes que admiten PCT.

PCT es un protocolo anterior que se ha reemplazado por SSL 3.0 y que ya no se usa con carácter general. La biblioteca microsoft Secure Sockets Layer (SSL) solo admite PCT por compatibilidad con versiones anteriores. La mayoría de los programas y servidores modernos usan SSL 3.0 y PCT ya no es necesario. Para obtener información más detallada, visite el sitio web de MSDN Library.

¿Qué podría hacer un atacante para usar la vulnerabilidad?

Quién podría aprovechar la vulnerabilidad?

Cualquier atacante anónimo que pudiera entregar un mensaje TCP especialmente diseñado a un servicio habilitado para SSL en un sistema afectado podría intentar aprovechar esta vulnerabilidad.

¿Cómo podría un atacante aprovechar esta vulnerabilidad?

Un atacante podría aprovechar esta vulnerabilidad al comunicarse con un sistema afectado a través de un servicio habilitado para SSL y enviar un mensaje TCP especialmente diseñado. La recepción de este mensaje podría provocar un error en el servicio afectado en el sistema vulnerable de tal manera que pudiera ejecutar código.

¿Qué sistemas están principalmente en riesgo de la vulnerabilidad?

Todos los programas que usan SSL podrían verse afectados. Aunque SSL suele estar asociado a Internet Information Services mediante HTTPS y el puerto 443, es probable que cualquier servicio que implemente SSL en una plataforma afectada sea vulnerable. Esto incluye, entre otros, Internet Information Services 4.0, Internet Information Services 5.0, Internet Information Services 5.1, Exchange Server 5.5, Exchange Server 2000, Exchange Server 2003, Analysis Services 2000 (incluido con SQL Server 2000) y cualquier programa de terceros que use PCT. SQL Server 2000 no es vulnerable porque bloquea específicamente las conexiones PCT.

Windows Server 2003 e Internet Information Services 6.0 solo son vulnerables a este problema si un administrador ha habilitado manualmente PCT (incluso si SSL se ha habilitado).

Los dominios de Active Directory que tienen instalada una entidad de certificación raíz empresarial también se ven afectados por esta vulnerabilidad porque los controladores de dominio de Windows 2000 escucharán automáticamente las conexiones SSL.

¿Cómo se ve afectado Windows Server 2003?

La forma en que Windows Server 2003 implementa PCT contiene la misma saturación del búfer que se encuentra en otras plataformas. Sin embargo, PCT está deshabilitado de forma predeterminada. Si el protocolo PCT se habilita mediante una clave del Registro, Windows Server 2003 podría ser vulnerable a este problema. Por lo tanto, Microsoft publica una actualización de seguridad para Windows Server 2003 que corrige la saturación del búfer mientras continúa dejando PCT deshabilitado.

¿Qué hace la actualización?

La actualización elimina la vulnerabilidad modificando la forma en que la implementación del PCT valida la información que se le ha pasado y también deshabilita el protocolo PCT.

¿Esta actualización presenta algún cambio de comportamiento?

Sí. Aunque la actualización aborda la vulnerabilidad en PCT, también deshabilita PCT porque este protocolo ya no se usa y se ha reemplazado por SSL 3.0. Este comportamiento es coherente con la configuración predeterminada de Windows Server 2003. Si los administradores requieren el uso del PCT, pueden habilitarlo mediante la clave del Registro que se describe en la sección Solución alternativa de este boletín.

Vulnerabilidad de Winlogon: CAN-2003-0806:

Existe una vulnerabilidad de saturación del búfer en el proceso de inicio de sesión de Windows (Winlogon). No comprueba el tamaño de un valor usado durante el proceso de inicio de sesión antes de insertarlo en el búfer asignado. La saturación resultante podría permitir que un atacante ejecute código de forma remota en un sistema afectado. Los sistemas que no son miembros de un dominio no se ven afectados por esta vulnerabilidad. Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado.

Mitigación de factores para la vulnerabilidad de Winlogon: CAN-2003-0806:

Solo los sistemas Windows NT 4.0, Windows 2000 y Windows XP que son miembros de un dominio se ven afectados por esta vulnerabilidad. Windows Server 2003 no se ve afectado por esta vulnerabilidad.
Un atacante requeriría permiso para modificar objetos de usuario en un dominio para intentar aprovechar esta vulnerabilidad. Normalmente, solo los miembros de los grupos de Administración istrators o operadores de cuenta tendrían este permiso. Sin embargo, este permiso puede haberse delegado a otras cuentas de usuario en el dominio.
Normalmente, los dominios admiten la auditoría de los cambios en los objetos de usuario. Estos registros de auditoría se pueden revisar para determinar qué cuenta de usuario puede haber modificado malintencionadamente otras cuentas de usuario para intentar aprovechar esta vulnerabilidad.

Soluciones alternativas para la vulnerabilidad de Winlogon: CAN-2003-0806:

Reduzca el número de usuarios que tienen permisos de modificación de cuenta.

Para aprovechar esta vulnerabilidad, un atacante requiere la capacidad de modificar objetos de usuario en el dominio. Algunas organizaciones agregan cuentas de usuario a los grupos Administración istrators o Operadores de cuenta innecesariamente. Por ejemplo, si un representante del departamento de soporte técnico solo requiere la capacidad de restablecer contraseñas de usuario, el administrador debe delegar directamente ese permiso sin agregar el representante al grupo Operador de cuenta. Reducir el número de cuentas de usuario en grupos administrativos ayuda a bloquear vectores de ataque conocidos. Solo los empleados de confianza deben ser miembros de grupos administrativos. Para obtener más información sobre los procedimientos recomendados de dominio, visite el siguiente sitio web.

Preguntas más frecuentes sobre la vulnerabilidad de Winlogon - CAN-2003-0806:

¿Cuál es el ámbito de la vulnerabilidad?

Se trata de una vulnerabilidad de saturación del búfer. Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado, incluida la instalación de programas; ver, cambiar o eliminar datos; o crear cuentas que tengan privilegios completos.

¿Qué causa la vulnerabilidad?

Winlogon lee un valor del dominio, pero no comprueba el tamaño de este valor antes de insertarlo en el búfer asignado.

¿Qué es winlogon?

El proceso de inicio de sesión de Windows (Winlogon) es el componente del sistema operativo Windows que proporciona compatibilidad con el inicio de sesión interactivo. Winlogon.exe es el proceso que administra las interacciones del usuario relacionadas con la seguridad en Windows. Controla las solicitudes de inicio de sesión y de cierre de sesión, el bloqueo o desbloqueo del sistema, el cambio de la contraseña y otras solicitudes. Lee los datos del dominio durante el proceso de inicio de sesión y usa estos datos para configurar el entorno de un usuario. Para obtener más información sobre Winlogon, visite el sitio web de MSDN Library.

¿Qué es un dominio?

Un dominio se puede usar para almacenar información sobre prácticamente cualquier objeto de red, como impresoras, ubicaciones de recursos compartidos de archivos e información personal. Para obtener más información sobre cómo crear dominios con Windows 2000 Server o Windows Server 2003, visite el siguiente sitio web.

¿Qué podría hacer esta vulnerabilidad un atacante?

Quién podría aprovechar la vulnerabilidad?

Un atacante requeriría permiso para modificar objetos de usuario en un dominio para intentar aprovechar esta vulnerabilidad. Normalmente, solo los miembros de los grupos de Administración istrators o operadores de cuenta tendrían este permiso. Sin embargo, este permiso puede haberse delegado a otras cuentas de usuario en el dominio. Las cuentas de usuario que no tienen este permiso o los usuarios anónimos no pudieron aprovechar esta vulnerabilidad.

¿Cómo podría un atacante aprovechar esta vulnerabilidad?

Un atacante podría modificar especialmente un valor almacenado en el dominio para incluir datos malintencionados. Cuando este valor se pasa a un búfer sin marcar en Winlogon durante el proceso de inicio de sesión, Winlogon podría permitir que se ejecute código malintencionado.

¿Qué sistemas están principalmente en riesgo de la vulnerabilidad?

Solo los sistemas Windows NT 4.0, Windows 2000 y Windows XP que son miembros de un dominio se ven afectados por esta vulnerabilidad.

¿Qué hace la actualización?

Esta actualización quita la vulnerabilidad modificando la forma en que el proceso de Winlogon valida la longitud de un valor antes de pasarla al búfer asignado.

Vulnerabilidad del metarchivo - CAN-2003-0906:

Existe una vulnerabilidad de saturación del búfer en la representación de formatos de imagen de metarchivo de Windows (WMF) y Metarchivo mejorado (EMF) que podrían permitir la ejecución remota de código en un sistema afectado. Cualquier programa que represente imágenes WMF o EMF en los sistemas afectados podría ser vulnerable a este ataque. Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado.

Mitigación de factores para la vulnerabilidad del metarchivo - CAN-2003-0906:

La vulnerabilidad solo podría ser explotada por un atacante que convenció a un usuario de abrir un archivo especialmente diseñado o ver un directorio que contiene la imagen especialmente diseñada. No hay forma de que un atacante obligue a un usuario a abrir un archivo malintencionado.
En un escenario de ataque basado en web, un atacante tendría que hospedar un sitio web que contiene una página web que se usa para aprovechar esta vulnerabilidad. Un atacante no tendría forma de forzar a los usuarios a visitar un sitio web malintencionado. En su lugar, un atacante tendría que convencerlos de visitar el sitio web, normalmente obteniendo que hagan clic en un vínculo que los lleve al sitio del atacante.
Un atacante que aprovechara correctamente esta vulnerabilidad podría obtener los mismos privilegios que el usuario. Los usuarios cuyas cuentas están configuradas para tener menos privilegios en el sistema podrían tener menos riesgos que los usuarios que operan con privilegios administrativos.
Windows Server 2003 no se ve afectado por esta vulnerabilidad.

Soluciones alternativas para la vulnerabilidad del metarchivo: CAN-2003-0906:

Leer mensajes de correo electrónico en formato de texto sin formato si usa Outlook 2002 o posterior, o Outlook Express 6 SP1 o posterior, para ayudarle a protegerse del vector de ataque de correo electrónico HTML.

Los usuarios de Microsoft Outlook 2002 que han aplicado Office XP Service Pack 1 o posterior y los usuarios de Microsoft Outlook Express 6 que han aplicado Internet Explorer 6 Service Pack 1 pueden habilitar esta configuración y ver todos los mensajes de correo electrónico no firmados digitalmente o mensajes de correo electrónico no cifrados solo en texto sin formato.

Los mensajes de correo electrónico firmados digitalmente o los mensajes de correo electrónico cifrados no se ven afectados por la configuración y pueden leerse en sus formatos originales. Para obtener más información sobre cómo habilitar esta configuración en Outlook 2002, consulte el artículo de Microsoft Knowledge Base 307594.

Para obtener información sobre esta configuración en Outlook Express 6, consulte el artículo de Microsoft Knowledge Base 291387.

Impacto de la solución alternativa: los mensajes de correo electrónico que se ven en formato de texto sin formato no contendrán imágenes, fuentes especializadas, animaciones u otro contenido enriquecido. Además:
- Los cambios se aplican al panel de vista previa y abren mensajes.
- Las imágenes se convierten en datos adjuntos para que no se pierdan.
- Dado que el mensaje todavía está en formato html o texto enriquecido en el almacén, el modelo de objetos (soluciones de código personalizado) puede comportarse inesperadamente.

Preguntas más frecuentes sobre vulnerabilidades de metarchivo - CAN-2003-0906:

¿Cuál es el ámbito de la vulnerabilidad?

¿Qué causa la vulnerabilidad?

Un búfer no activado en la representación de formatos de imagen de metarchivo de Windows (WMF) y Metarchivo mejorado (EMF).

¿Qué son los formatos de imagen de metarchivo de Windows (WMF) y metarchivo mejorado (EMF)?

Una imagen WMF es un formato de metarchivo de 16 bits que puede contener información de vectores e información de mapa de bits. Está optimizado para el sistema operativo Windows.

Una imagen EMF es un formato de 32 bits que puede contener información de vectores y información de mapa de bits. Este formato es una mejora respecto al formato de metarchivo de Windows y contiene características extendidas.

Para obtener más información sobre los formatos y los tipos de imagen, consulte el artículo de Microsoft Knowledge Base 320314. También hay disponible información adicional sobre estos formatos de archivo en el sitio web de MSDN Library.

¿Qué podría hacer un atacante para usar la vulnerabilidad?

¿Cómo podría un atacante aprovechar esta vulnerabilidad?

Cualquier programa que represente los tipos de imagen afectados podría ser vulnerable a este ataque. Estos son algunos ejemplos:

Un atacante podría hospedar un sitio web malintencionado diseñado para aprovechar esta vulnerabilidad a través de Internet Explorer 6 y luego convencer a un usuario de ver el sitio web.
Un atacante también podría crear un mensaje de correo electrónico HTML que tenga una imagen especialmente diseñada adjunta. La imagen especialmente diseñada podría diseñarse para aprovechar esta vulnerabilidad a través de Outlook 2002 o Outlook Express 6. Un atacante podría convencer al usuario de ver el mensaje de correo electrónico HTML.
Un atacante podría insertar una imagen especialmente diseñada en un documento de Office y luego convencer al usuario de ver el documento.
Un atacante podría agregar una imagen especialmente diseñada al sistema de archivos local o a un recurso compartido de red y luego convencer al usuario de obtener una vista previa del directorio mediante el Explorador de Windows en Windows XP.

¿Qué sistemas están principalmente en riesgo de la vulnerabilidad?

La vulnerabilidad solo se puede aprovechar en los sistemas afectados por un atacante que convenció a un usuario de abrir un archivo o ver un directorio especialmente diseñado que contiene la imagen especialmente diseñada. No hay forma de que un atacante obligue a un usuario a abrir un archivo malintencionado.

En un escenario de ataque basado en web, un atacante tendría que hospedar un sitio web que contiene una página web que se usa para aprovechar esta vulnerabilidad. Un atacante no tendría forma de forzar a los usuarios a visitar un sitio web malintencionado. En su lugar, un atacante tendría que convencerlos de visitar el sitio web, normalmente obteniendo que hagan clic en un vínculo que los lleve al sitio del atacante.

¿Qué hace la actualización?

La actualización quita la vulnerabilidad modificando la forma en que Windows valida los tipos de imagen afectados.

Vulnerabilidad del Centro de ayuda y soporte técnico : CAN-2003-0907:

Existe una vulnerabilidad de ejecución remota de código en el Centro de ayuda y soporte técnico debido a la forma en que controla la validación de direcciones URL de HCP. Un atacante podría aprovechar la vulnerabilidad mediante la construcción de una dirección URL de HCP malintencionada que podría permitir la ejecución remota del código si un usuario visitó un sitio web malintencionado o vio un mensaje de correo electrónico malintencionado. Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado.

Mitigación de factores para la vulnerabilidad del Centro de ayuda y soporte técnico : CAN-2003-0907:

En un escenario de ataque basado en web, un atacante tendría que hospedar un sitio web que contiene una página web que se usa para aprovechar esta vulnerabilidad. Un atacante no tendría forma de forzar a los usuarios a visitar un sitio web malintencionado. En su lugar, un atacante tendría que convencerlos de visitar el sitio web, normalmente obteniendo que hagan clic en un vínculo que los lleve al sitio del atacante.
De forma predeterminada, Outlook Express 6, Outlook 2002 y Outlook 2003 abren mensajes de correo electrónico HTML en la zona Sitios restringidos. Además, Outlook 98 y Outlook 2000 abren mensajes de correo electrónico HTML en la zona Sitios restringidos si se ha instalado la actualización de seguridad de correo electrónico de Outlook. La zona sitios restringidos ayuda a reducir los ataques que podrían intentar aprovechar esta vulnerabilidad.

El riesgo de ataque del vector de correo electrónico HTML puede reducirse significativamente si cumple todas las condiciones siguientes:
- Aplique la actualización que se incluye con el boletín de seguridad de Microsoft MS03-040 o una actualización de seguridad acumulativa posterior para Internet Explorer.
- Use Internet Explorer 6 o posterior.
- Use microsoft Outlook E-mail Security Update, use Microsoft Outlook Express 6 o posterior, o use Microsoft Outlook 2000 Service Pack 2 o posterior en su configuración predeterminada.
Un atacante que aprovechara correctamente esta vulnerabilidad podría obtener los mismos privilegios que el usuario. Los usuarios cuyas cuentas están configuradas para tener menos privilegios en el sistema podrían tener menos riesgos que los usuarios que operan con privilegios administrativos.
Windows NT 4.0 y Windows 2000 no se ven afectados por esta vulnerabilidad.

Soluciones alternativas para la vulnerabilidad del Centro de ayuda y soporte técnico: CAN-2003-0907:

Anule el registro del protocolo HCP.

Para ayudar a evitar un ataque, anule el registro del protocolo HCP eliminando la siguiente clave del Registro: HKEY_CLASSES_ROOT\HCP. Para ello, siga los pasos que se indican a continuación:
1. Haga clic en Inicioy, a continuación, haga clic en Ejecutar.
2. Escriba regedit y haga clic en Aceptar.
  
  Se inicia el programa del editor del Registro.
3. Expanda HKEY_CLASSES_ROOT y, a continuación, resalte la clave HCP.
4. Haga clic con el botón derecho en la clave HCP y, a continuación, haga clic en Eliminar.
Nota El uso incorrecto del Editor del Registro puede causar problemas graves que pueden requerir que vuelva a instalar Windows. Microsoft no puede garantizar que puedan solucionarse los problemas derivados del uso incorrecto del Editor del Registro. Use el Editor del Registro bajo su propia responsabilidad.

Impacto de la solución alternativa: anular el registro del protocolo HCP interrumpirá todos los vínculos de ayuda locales legítimos que usan hcp://. Por ejemplo, es posible que los vínculos de Panel de control ya no funcionen.
Instalela actualizaciónde seguridad de correo electrónico de Outlook si usa Outlook 2000 SP1 o versiones anteriores.

De forma predeterminada, Outlook Express 6, Outlook 2002 y Outlook 2003 abren mensajes de correo electrónico HTML en la zona Sitios restringidos. Además, Outlook 98 y Outlook 2000 abren mensajes de correo electrónico HTML en la zona Sitios restringidos si se ha instalado la actualización de seguridad de correo electrónico de Outlook.

Los clientes que usan cualquiera de estos productos podrían estar en un riesgo reducido de un ataque transmitido por correo electrónico que intente aprovechar esta vulnerabilidad a menos que el usuario haga clic en un vínculo malintencionado en el mensaje de correo electrónico.
Leer mensajes de correo electrónico en formato de texto sin formato si usa Outlook 2002 o posterior, o Outlook Express 6 SP1 o posterior, para ayudarle a protegerse del vector de ataque de correo electrónico HTML.

Los usuarios de Microsoft Outlook 2002 que han aplicado Office XP Service Pack 1 o posterior y los usuarios de Microsoft Outlook Express 6 que han aplicado Internet Explorer 6 Service Pack 1 pueden habilitar esta configuración y ver todos los mensajes de correo electrónico no firmados digitalmente o mensajes de correo electrónico no cifrados solo en texto sin formato.

Los mensajes de correo electrónico firmados digitalmente o los mensajes de correo electrónico cifrados no se ven afectados por la configuración y pueden leerse en sus formatos originales. Para obtener más información sobre cómo habilitar esta configuración en Outlook 2002, consulte el artículo de Microsoft Knowledge Base 307594.

Para obtener información sobre esta configuración en Outlook Express 6, consulte el artículo de Microsoft Knowledge Base 291387.

Impacto de la solución alternativa: los mensajes de correo electrónico que se ven en formato de texto sin formato no contendrán imágenes, fuentes especializadas, animaciones u otro contenido enriquecido. Además:
- Los cambios se aplican al panel de vista previa y abren mensajes.
- Las imágenes se convierten en datos adjuntos para que no se pierdan.
- Dado que el mensaje todavía está en formato html o texto enriquecido en el almacén, el modelo de objetos (soluciones de código personalizado) puede comportarse inesperadamente.

Preguntas más frecuentes sobre vulnerabilidades del Centro de ayuda y soporte técnico : CAN-2003-0907:

¿Cuál es el ámbito de la vulnerabilidad?

Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que aprovechara correctamente esta vulnerabilidad podría obtener un control completo sobre un sistema afectado. Un atacante podría realizar cualquier acción en el sistema, incluida la instalación de programas, la visualización de datos, el cambio de datos, la eliminación de datos o la creación de nuevas cuentas con privilegios completos.

¿Qué causa la vulnerabilidad?

Proceso utilizado por el Centro de ayuda y soporte técnico para validar las entradas de datos.

¿QuéeselCentro de ayudaysoportetécnico?

El Centro de ayuda y soporte técnico (HSC) es una característica de Windows que proporciona ayuda sobre diversos temas. Por ejemplo, HSC puede enseñar a los usuarios sobre las características de Windows, cómo descargar e instalar actualizaciones de software, cómo determinar si un dispositivo de hardware determinado es compatible con Windows y cómo recibir ayuda de Microsoft. Los usuarios y programas pueden usar vínculos URL al Centro de ayuda y soporte técnico mediante el prefijo "hcp://" en un vínculo url en lugar de "https://".

¿Qué es el protocolo HCP?

De forma similar a la forma en que el protocolo HTTP puede usar vínculos de ejecución de direcciones URL para abrir un explorador web, el protocolo HCP puede ejecutar vínculos URL para abrir la característica Centro de ayuda y soporte técnico.

¿Qué ocurreconelCentro de ayudaysoportetécnico?

Se produce un error en la validación de entrada.

¿Qué podría hacer un atacante para usar la vulnerabilidad?

¿Cómo podría un atacante aprovechar esta vulnerabilidad?

Para aprovechar esta vulnerabilidad, un atacante tendría que hospedar un sitio web malintencionado y luego convencer a un usuario de ver ese sitio web. Un atacante también podría crear un mensaje de correo electrónico HTML que tenga un vínculo especialmente diseñado y, a continuación, convencer a un usuario para ver el mensaje de correo electrónico HTML y, a continuación, hacer clic en el vínculo malintencionado. Si el usuario hace clic en este vínculo, una ventana de Internet Explorer podría abrirse con una dirección URL de HCP de la elección del atacante, lo que podría permitir la ejecución arbitraria de código.

¿Qué sistemas están principalmente en riesgo de la vulnerabilidad?

Windows XP y Windows Server 2003 contienen la versión afectada del Centro de ayuda y soporte técnico. Windows NT 4.0 y Windows 2000 no se ven afectados porque no contienen el Centro de ayuda y soporte técnico.

Estoy ejecutando Internet Explorer en Windows Server 2003. ¿Windows Server 2003 mitiga esta vulnerabilidad?

No. De forma predeterminada, Internet Explorer en Windows Server 2003 se ejecuta en un modo restringido que se conoce como configuración de seguridad mejorada de Internet Explorer. Sin embargo, el protocolo HCP puede acceder al Centro de ayuda y soporte técnico de forma predeterminada. Por lo tanto, Windows Server 2003 es vulnerable. Para obtener más información sobre la configuración de seguridad mejorada de Internet Explorer, visite el siguiente sitio web.

¿Qué hace la actualización?

Esta actualización quita la vulnerabilidad modificando la validación de los datos pasados al Centro de ayuda y soporte técnico.

Vulnerabilidad del Administrador de utilidades - CAN-2003-0908:

Existe una vulnerabilidad de elevación de privilegios en la forma en que el Administrador de utilidades inicia aplicaciones. Un usuario que ha iniciado sesión podría forzar al Administrador de utilidades a iniciar una aplicación con privilegios del sistema y tomar el control completo del sistema.

Mitigación de factores para la vulnerabilidad del Administrador de utilidades - CAN-2003-0908:

Un atacante debe tener credenciales de inicio de sesión válidas para aprovechar la vulnerabilidad. Los usuarios anónimos no pudieron aprovechar la vulnerabilidad.
Windows NT 4.0, Windows XP y Windows Server 2003 no se ven afectados por esta vulnerabilidad. Windows NT 4.0 no implementa el Administrador de utilidades.
La Guía de protección de Windows 2000 recomienda deshabilitar el servicio Administrador de utilidades. Los entornos que cumplen estas directrices podrían estar en un riesgo reducido de esta vulnerabilidad.

Soluciones alternativas para la vulnerabilidad del Administrador de utilidades: CAN-2003-0908:

Use directivas de grupo para deshabilitar el Administrador de utilidades en todos los sistemas afectados que no requieran esta característica.

Dado que el Administrador de utilidades es un vector de ataque posible, deshabilite mediante directivas de grupo. El nombre del proceso del Administrador de utilidades es Utilman.exe. En la siguiente guía se proporciona información sobre cómo requerir que los usuarios ejecuten solo aplicaciones aprobadas mediante directivas de grupo.

Nota También puedes revisar la Guía de protección de Windows 2000. En esta guía se incluye información sobre cómo deshabilitar el Administrador de utilidades.

Impacto de la solución alternativa:

El Administrador de utilidades proporciona fácil acceso a muchas de las características de accesibilidad del sistema operativo. Este acceso no estará disponible hasta que se quiten las restricciones. Para obtener información sobre cómo iniciar manualmente muchas de las características de accesibilidad, visite este sitio web.

Preguntas más frecuentes sobre la vulnerabilidad del Administrador de utilidades - CAN-2003-0908:

¿Cuál es el ámbito de la vulnerabilidad?

Se trata de una vulnerabilidad de elevación de privilegios. Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado, incluida la instalación de programas; ver, cambiar o eliminar datos; o crear cuentas que tengan privilegios completos.

¿Qué causa la vulnerabilidad?

Proceso usado por el Administrador de utilidades para iniciar aplicaciones. Es posible que el Administrador de utilidades pueda iniciar aplicaciones con privilegios del sistema.

¿Qué es el Administrador de utilidades?

El Administrador de utilidades es una utilidad de accesibilidad que permite a los usuarios comprobar el estado de los programas de accesibilidad, como Lupa de Microsoft, Narrador o Teclado en pantalla, e iniciarlos o detenerlos.

¿Qué podría hacer un atacante para usar la vulnerabilidad?

Quién podría aprovechar la vulnerabilidad?

Un atacante debe poder iniciar sesión en el sistema y, después de iniciar el Administrador de utilidades, ejecutar un programa que envíe un mensaje especialmente diseñado al Administrador de utilidades para intentar aprovechar la vulnerabilidad.

¿Cómo podría un atacante aprovechar esta vulnerabilidad?

Para aprovechar esta vulnerabilidad, un atacante tendría que iniciar primero el Administrador de utilidades en Windows 2000 y, a continuación, ejecutar una aplicación especialmente diseñada que podría aprovechar la vulnerabilidad. En las configuraciones predeterminadas de Window 2000, se instala el Administrador de utilidades, pero no se está ejecutando. Esta vulnerabilidad podría permitir que un atacante obtenga un control completo sobre un sistema windows 2000.

¿Qué sistemas están principalmente en riesgo de la vulnerabilidad?

Solo Windows 2000 se ve afectado por esta vulnerabilidad. Las estaciones de trabajo y los servidores de terminal que se basan en Windows 2000 están principalmente en riesgo. Los servidores solo están en riesgo si los usuarios que no tienen suficientes credenciales administrativas tienen la capacidad de iniciar sesión en servidores y ejecutar programas. Sin embargo, los procedimientos recomendados no desaconsejan encarecidamente permitir esto.

Estoy usando Windows 2000, pero no estoy usando el Administrador de utilidades ni ninguna de las características de accesibilidad. ¿Todavía soy vulnerable?

Sí. De forma predeterminada, el Administrador de utilidades está instalado y habilitado. Sin embargo, el Administrador de utilidades no se está ejecutando de forma predeterminada.

¿Podría aprovecharse la vulnerabilidad a través de Internet?

No. Un atacante debe poder iniciar sesión en el sistema específico dirigido a ataques. Un atacante no puede cargar y ejecutar un programa de forma remota mediante esta vulnerabilidad.

¿Qué hace la actualización?

Esta actualización quita la vulnerabilidad modificando la forma en que el Administrador de utilidades inicia las aplicaciones.

Vulnerabilidad de administración de Windows: CAN-2003-0909

Existe una vulnerabilidad de elevación de privilegios en la forma en que Windows XP permite crear tareas. En condiciones especiales, un usuario sin privilegios podría crear una tarea que pudiera ejecutarse con permisos del sistema y, por tanto, tomar el control completo del sistema.

Mitigación de factores para la vulnerabilidad de administración de Windows: CAN-2003-0909:

Un atacante debe tener credenciales de inicio de sesión válidas para aprovechar la vulnerabilidad. Un usuario anónimo no pudo aprovechar la vulnerabilidad.
Windows NT 4.0, Windows 2000 y Windows Server 2003 no se ven afectados por esta vulnerabilidad.

Soluciones alternativas para la vulnerabilidad de administración de Windows: CAN-2003-0909:

Elimine el proveedor de interfaz de administración de Windows afectado.

Un administrador con permisos administrativos locales puede eliminar el proveedor de interfaz de administración de Windows (WMI) afectado insertando el siguiente script en un archivo de texto que tenga una extensión de nombre de archivo ".vbs" y ejecutándola.

Para eliminar el proveedor WMI afectado:

set osvc = getobject("winmgmts:root\cimv2")set otrigger = osvc.get("__win32provider='cmdtriggerconsumer'")otrigger.delete_

La instalación de la actualización vuelve a registrar automáticamente el proveedor WMI afectado al que se hace referencia anteriormente. No es necesario realizar ningún paso adicional para restaurar el sistema a la funcionalidad típica después de aplicar la actualización.

Impacto de la solución alternativa: las tareas que se crean como desencadenadores basados en eventos no funcionarán mientras este proveedor no está registrado. Para obtener más información sobre los desencadenadores basados en eventos, visite el siguiente sitio web.

Nota En raras ocasiones, Windows XP podría volver a registrar este proveedor WMI. Por ejemplo, si Windows XP detecta que el repositorio WMI se ha dañado, podría intentar volver a registrar el proveedor WMI afectado.

Preguntas más frecuentes sobre vulnerabilidades de administración de Windows - CAN-2003-0909:

¿Cuál es el ámbito de la vulnerabilidad?

¿Qué causa la vulnerabilidad?

En condiciones especiales, un usuario sin privilegios de Microsoft Windows XP podría crear una tarea que se pudiera ejecutar con permisos del sistema.

¿Qué podría hacer un atacante para usar la vulnerabilidad?

¿Cómo podría un atacante aprovechar esta vulnerabilidad?

Para aprovechar la vulnerabilidad, un atacante debe poder iniciar sesión en el sistema y crear una tarea. Dado que un atacante debe tener credenciales de inicio de sesión válidas para aprovechar la vulnerabilidad, los sistemas remotos no están en riesgo.

¿Qué sistemas están principalmente en riesgo de la vulnerabilidad?

Solo Windows XP se ve afectado por esta vulnerabilidad.

¿Qué hace la actualización?

La actualización quita la vulnerabilidad evitando que los usuarios creen tareas en un nivel de privilegio elevado.

¿Esta actualización contiene otros cambios de comportamiento?

Sí. Esta actualización también incluye varios cambios en la funcionalidad, documentados a continuación:

Antes de esta actualización, un usuario a veces podría crear desencadenadores basados en eventos mediante la herramienta de línea de comandos Eventtriggers.exe sin tener que proporcionar un nombre de usuario y una contraseña. Una vez instalada esta actualización, es posible que un usuario tenga que proporcionar un nombre de usuario y una contraseña válidos para crear desencadenadores basados en eventos mediante Eventttrigers.exe. Para obtener información detallada sobre las opciones de línea de comandos de Eventtriggers.exe, visite el siguiente sitio web.
Anteriormente, los administradores podían crear desencadenadores basados en eventos con el servicio Programador de tareas detenido o deshabilitado. Ahora, el servicio Programador de tareas debe estar en ejecución. Para obtener más información sobre el Programador de tareas, visite el siguiente sitio web.
También se ha establecido un nuevo límite de 1000 desencadenadores como parte de esta actualización. Los desencadenadores basados en eventos existentes sobre este límite seguirán funcionando después de instalar la actualización. Sin embargo, no se pueden crear desencadenadores basados en eventos adicionales.
Los permisos se han reforzado en desencadenadores basados en eventos que se crean después de instalar la actualización.

Vulnerabilidad de la tabla de descriptores locales: CAN-2003-0910

Existe una vulnerabilidad de elevación de privilegios en una interfaz de programación que se usa para crear entradas en la tabla de descriptores locales (LDT). Estas entradas contienen información sobre segmentos de memoria. Un atacante que haya iniciado sesión localmente podría crear una entrada malintencionada y, por lo tanto, obtener acceso a la memoria protegida, podría tomar el control completo del sistema.

Mitigación de factores para la vulnerabilidad de la tabla de descriptores local: CAN-2003-0910:

Un atacante debe tener credenciales de inicio de sesión válidas y poder iniciar sesión localmente para aprovechar esta vulnerabilidad. No se pudo aprovechar de forma remota.
Windows XP y Windows Server 2003 no se ven afectados por esta vulnerabilidad.

Soluciones alternativas para la vulnerabilidad de la tabla de descriptores locales: CAN-2003-0910:

Ninguno.

Preguntas más frecuentes sobre la vulnerabilidad de la tabla de descriptores locales : CAN-2003-0910:

¿Cuál es el ámbito de la vulnerabilidad?

¿Qué causa la vulnerabilidad?

Interfaz de programación que se usa para crear entradas en LDT. Estas entradas contienen información sobre segmentos de memoria. Un atacante podría crear una entrada malintencionada para obtener acceso a la memoria del kernel protegida.

¿Qué es la tabla de descriptores locales?

La tabla de descriptores locales (LDT) contiene entradas denominadas descriptores. Estos descriptores contienen información que define un segmento determinado de memoria.

¿Qué ocurre con la forma en que se puede crear una entrada de descriptor en el LDT?

La interfaz de programación no debe permitir que los programas creen entradas de descriptor en el LDT que apunten a áreas de memoria protegida.

¿Qué podría hacer un atacante para usar la vulnerabilidad?

Un atacante que aprovechara correctamente la vulnerabilidad podría tomar el control completo del sistema afectado. Un atacante podría realizar cualquier acción en el sistema, incluida la instalación de programas, la visualización de datos, el cambio de datos, la eliminación de datos o la creación de nuevas cuentas con privilegios completos.

Quién podría aprovechar la vulnerabilidad?

Un atacante debe poder iniciar sesión localmente en el sistema y ejecutar un programa para aprovechar esta vulnerabilidad.

¿Cómo podría un atacante aprovechar esta vulnerabilidad?

Para aprovechar esta vulnerabilidad, un atacante primero tendría que iniciar sesión en el sistema. Después, un atacante podría ejecutar un programa especialmente diseñado que podría aprovechar la vulnerabilidad y, posiblemente, obtener un control completo sobre el sistema afectado.

¿Qué sistemas están principalmente en riesgo de la vulnerabilidad?

Las estaciones de trabajo y los servidores terminales están en riesgo. Los servidores solo están en riesgo si los usuarios que no tienen suficientes credenciales administrativas tienen la capacidad de iniciar sesión y ejecutar programas. Sin embargo, los procedimientos recomendados no desaconsejan encarecidamente permitir esto.

¿Podría aprovecharse la vulnerabilidad a través de Internet?

No. Un atacante debe poder iniciar sesión en el sistema específico dirigido a ataques. Un atacante no puede cargar y ejecutar un programa de forma remota mediante esta vulnerabilidad.

¿Qué hace la actualización?

La actualización quita la vulnerabilidad modificando la forma en que se crean las entradas de descriptores en LDT.

Vulnerabilidad H.323: CAN-2004-0117

Existe una vulnerabilidad de ejecución remota de código en la forma en que la implementación del protocolo H.323 de Microsoft controla las solicitudes con formato incorrecto. Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado.

Mitigación de factores para la vulnerabilidad H.323 - CAN-2004-0117:

En los escenarios más comunes, NetMeeting (que usa H.323) debe estar ejecutándose para ser vulnerable.
En los escenarios más comunes, los sistemas que usan Firewall de Conectar ion de Internet (ICF) y que no ejecutan ninguna aplicación basada en H.323 no son vulnerables.
Windows NT 4.0 no se ve afectado por esta vulnerabilidad a menos que un administrador haya instalado manualmente la versión independiente de NetMeeting.

Soluciones alternativas para la vulnerabilidad H.323 - CAN-2004-0117:

Bloquee los puertos TCP 1720 y TCP 1503 tanto entrantes como salientes en el firewall.

Los procedimientos recomendados de firewall y las configuraciones de firewall predeterminadas estándar pueden ayudar a proteger las redes frente a ataques que se originan fuera del perímetro de la empresa. Los procedimientos recomendados recomiendan que los sistemas conectados a Internet tengan un número mínimo de puertos expuestos. Microsoft recomienda bloquear todas las comunicaciones entrantes no solicitadas desde Internet para ayudar a evitar ataques que pueden usar otros puertos.

Impacto de la solución alternativa:

Si se bloquean los puertos TCP entrantes y salientes 1503 y 1720, los usuarios no podrán conectarse al Servicio de localizador de Internet (ILS) ni a otros clientes de NetMeeting.

Preguntas más frecuentes sobre la vulnerabilidad H.323 - CAN-2004-0117:

¿Cuál es el ámbito de la vulnerabilidad?

¿Qué causa la vulnerabilidad?

Búferes desactivados en la implementación H.323 de Microsoft.

¿Qué es H.323?

H.323 es un estándar de la UIT que especifica cómo los equipos, equipos y servicios para la comunicación multimedia a través de redes que no proporcionan un nivel de servicio garantizado, como Internet. Los terminales y equipos H.323 pueden llevar vídeo, voz, datos o cualquier combinación de estos elementos en tiempo real. Los productos que usan H.323 para audio y vídeo permiten a los usuarios conectarse y comunicarse con otras personas a través de Internet, al igual que las personas que usan diferentes formas y modelos de teléfonos pueden comunicarse mediante el teléfono.

¿Qué aplicaciones afectadas usan el protocolo H.323?

El protocolo H.323 se implementa en una serie de aplicaciones de Microsoft y componentes del sistema operativo. Este problema puede afectar a los sistemas que tienen uno o varios de los siguientes servicios o aplicaciones que se ejecutan:

Aplicaciones basadas en la interfaz de programación de aplicaciones de telefonía (TAPI)
Netmeeting
Firewall de Conectar ion de Internet (ICF)
Conexión compartida a Internet
El servicio de enrutamiento y acceso remoto de Microsoft

¿Qué es TAPI?

La interfaz de programación de aplicaciones de telefonía de Windows (TAPI) forma parte de la arquitectura del sistema abierto de Windows. Mediante TAPI, los desarrolladores pueden crear aplicaciones de telefonía. TAPI es un estándar abierto del sector, definido con una entrada significativa y continua de la comunidad informática y telefonía mundial. Dado que TAPI es independiente del hardware, las aplicaciones compatibles se pueden ejecutar en una variedad de hardware de pc y telefonía y pueden admitir una variedad de servicios de red. TAPI implementa el protocolo H.323. Las aplicaciones que usan TAPI podrían ser vulnerables al problema que se describe en este boletín.

¿Hay alguna aplicación H.323 basada en TAPI instalada de forma predeterminada en cualquiera de los sistemas afectados?

Teléfono Microsoft Dialer es la única aplicación basada en TAPI H.323 instalada de forma predeterminada en Windows 2000 y Windows XP. Las aplicaciones de terceros podrían habilitar y usar la funcionalidad H.323 en TAPI.

Nota Teléfono Microsoft Dialer no se incluye en Windows Server 2003.

¿Qué es NetMeeting?

NetMeeting ofrece una solución completa de conferencias empresariales y de Internet para todos los usuarios de Windows, con conferencias de datos de varios puntos, chat de texto, pizarra y transferencia de archivos, y audio y vídeo de punto a punto. NetMeeting implementa el protocolo H.323 y se instala de forma predeterminada, pero no se ejecuta de forma predeterminada, en todos los sistemas afectados.

Si estoy ejecutando NetMeeting pero no estoy ejecutando Internet Conectar ion Sharing, ICF o el servicio enrutamiento y acceso remoto. ¿Soy vulnerable?

Sí. Al ejecutar NetMeeting, es vulnerable a este problema.

Si estoy ejecutando NetMeeting pero no estoy conectado a un servidor ILS o en una sesión de NetMeeting punto a punto, ¿soy vulnerable?

Sí, a menos que los puertos TCP 1720 y 1503 estén bloqueados en el sistema.

Si nunca he instalado la versión independiente de NetMeeting, ¿soy vulnerable?

NetMeeting se incluyó como parte de Windows 2000, Windows XP y Windows Server 2003. Esta actualización aborda las versiones de NetMeeting que se incluyeron con estos sistemas operativos. NetMeeting también está disponible como descarga independiente para otros sistemas operativos y como parte de otras aplicaciones, lo que también podría ser vulnerable a este problema. Si ha instalado la versión independiente de NetMeeting, instale una versión actualizada que solucione esta vulnerabilidad. Para descargar la versión actualizada, visite el siguiente sitio web. La versión actualizada que aborda esta vulnerabilidad es la versión 3.01 (4.4.3399).

¿Windows 98, Windows 98 Second Edition o Windows Millennium Edition se ven afectados críticamente por esta vulnerabilidad?

No. Aunque estos sistemas operativos pueden contener NetMeeting, la vulnerabilidad no es fundamental en estos sistemas operativos. Como método para solucionar esta vulnerabilidad, puede descargar e instalar la versión independiente de NetMeeting para estos sistemas operativos desde el siguiente sitio web. Para obtener más información sobre las clasificaciones de gravedad, visite el siguiente sitio web.

¿Qué es el firewall de Conectar ion de Internet?

Internet Conectar ion Firewall (ICF) proporciona funcionalidad básica de prevención de intrusiones a sistemas que ejecutan Windows XP o Windows Server 2003. Está diseñado para sistemas que están conectados directamente a una red pública o a sistemas que forman parte de una red doméstica cuando se usan con Internet Conectar ion Sharing.

Si solo estoy ejecutando Firewall de Conectar ion de Internet en Windows XP o en Windows Server 2003, ¿soy vulnerable?

No, no automáticamente. Sin embargo, si usa NetMeeting, incluso con ICF en ejecución, podría ser vulnerable a este problema. NetMeeting abre puertos en ICF que podrían exponer esta vulnerabilidad.

Abrir manualmente los puertos TCP 1720 y 1503 también podría exponer esta vulnerabilidad. Las aplicaciones de terceros también pueden hacer que ICF abra puertos en respuesta a la comunicación H.323.

¿Qué es Internet Conectar ion Sharing?

Mediante el uso compartido de Internet Conectar ion los usuarios pueden conectar un sistema a Internet y compartir el servicio de Internet con otros sistemas en una red doméstica o de oficina pequeña. El Asistente para la configuración de red de Windows XP proporciona automáticamente toda la configuración de red necesaria para compartir una conexión a Internet con todos los sistemas de una red. Cada sistema puede usar programas como Internet Explorer y Outlook Express como si el sistema estuviera conectado directamente a Internet.

Internet Conectar ion Sharing es una característica de Windows 2000, Windows XP y Windows Server 2003, pero no está habilitada de forma predeterminada en ninguno de los sistemas afectados.

Si he habilitado Internet Conectar ion Sharing, pero no he habilitado El firewall de Conectar ion de Internet, ¿soy vulnerable?

Sí, Internet Conectar ion Sharing habilita los puertos que podrían permitir que un sistema sea vulnerable a este problema.

Si se está ejecutando ICF e Internet Conectar ion Sharing, este ataque no se pudo producir a menos que el usuario también estuviera usando NetMeeting o hubiera abierto manualmente el puerto 1503 o el puerto 1720.

¿Qué es el servicio de enrutamiento y acceso remoto de Microsoft?

El servicio de enrutamiento y acceso remoto de Microsoft permite que un sistema que ejecute Windows 2000 Server o Windows Server 2003 funcione como enrutador de red. El acceso remoto permite a los usuarios que tienen sistemas remotos crear una conexión lógica a la red de una organización o a Internet. El servicio de enrutamiento y acceso remoto de Microsoft admite solicitudes H.323 que se enrutan a o desde una red.

Si estoy ejecutando el servicio de enrutamiento y acceso remoto de Microsoft en Windows 2000, ¿soy vulnerable?

Sí. De forma predeterminada, Windows 2000 usa el servicio de enrutamiento de Microsoft y acceso remoto con la funcionalidad de traducción de direcciones de red (NAT), que expone la vulnerabilidad. Sin embargo, un administrador puede deshabilitar la funcionalidad H.323 mediante el comando netsh . Los pasos detallados se describen en el artículo de Microsoft Knowledge Base 838834.

Nota Si un sistema está configurado para ejecutar otro servicio de enrutamiento y acceso remoto de Microsoft sin NAT (por ejemplo, Red privada virtual, OSPF o Protocolo de información de enrutamiento), no se vería afectado por esta vulnerabilidad.

Si estoy ejecutando el servicio de enrutamiento y acceso remoto de Microsoft en Windows Server 2003, ¿soy vulnerable?

No. De forma predeterminada, el servicio de enrutamiento y acceso remoto de Windows Server 2003 no habilita la funcionalidad H.323. Sin embargo, un administrador podría habilitar la funcionalidad H.323 y, a continuación, exponer el sistema a esta vulnerabilidad.

¿Qué podría hacer un atacante para usar la vulnerabilidad?

Quién podría aprovechar la vulnerabilidad?

Cualquier usuario anónimo que pudiera entregar una solicitud H.323 especialmente diseñada a cualquiera de los sistemas afectados anteriores.

¿Cómo podría un atacante aprovechar esta vulnerabilidad?

Un atacante podría intentar aprovechar la vulnerabilidad mediante la búsqueda de usuarios que ejecutan NetMeeting, un programa TAPI basado en H.323 o ambos.

Un atacante también podría intentar aprovechar la vulnerabilidad a través de Internet Conectar ion Sharing mediante la ejecución remota de código en sistemas que tienen habilitado el uso compartido de Internet Conectar ion. Si se está ejecutando el uso compartido de ICF e Internet Conectar ion, este ataque no sería posible a menos que el usuario también estuviera usando NetMeeting.

¿Qué sistemas están principalmente en riesgo de la vulnerabilidad?

Sistemas que ejecutan NetMeeting o que ejecutan un programa basado en H.323.

¿Qué hace la actualización?

La actualización modifica la forma en que los sistemas afectados procesan las solicitudes H.323 especialmente diseñadas.

Vulnerabilidad de la máquina VIRTUAL DOS: CAN-2004-0118:

Existe una vulnerabilidad de elevación de privilegios en el componente del sistema operativo que controla el subsistema de máquina VIRTUAL DOS (VDM). Esta vulnerabilidad podría permitir que un usuario que haya iniciado sesión tome el control completo del sistema.

Mitigación de factores para la vulnerabilidad de la máquina VIRTUAL DOS: CAN-2004-0118:

Un atacante debe tener credenciales de inicio de sesión válidas y poder iniciar sesión localmente para aprovechar esta vulnerabilidad. No se pudo aprovechar de forma remota.
Windows XP y Windows Server 2003 no se ven afectados por esta vulnerabilidad.

Soluciones alternativas para la vulnerabilidad de la máquina VIRTUAL DOS: CAN-2004-0118:

Ninguno.

Preguntas más frecuentes sobre vulnerabilidades de máquinas DOS virtuales : CAN-2004-0118:

¿Cuál es el ámbito de la vulnerabilidad?

Se trata de una vulnerabilidad de evaluación de privilegios. Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado, incluida la instalación de programas; ver, cambiar o eliminar datos; o crear cuentas que tengan privilegios completos. Para aprovechar la vulnerabilidad, un atacante debe poder iniciar sesión localmente en el sistema y ejecutar un programa.

¿Qué causa la vulnerabilidad?

El componente del sistema operativo que controla el subsistema VDM podría usarse para obtener acceso a la memoria del kernel protegida. En determinadas circunstancias, es posible que algunas funciones del sistema operativo con privilegios no validen las estructuras del sistema y podrían permitir que un atacante ejecute código malintencionado con privilegios del sistema.

¿Qué es el subsistema de máquinas DOS virtuales?

Una máquina virtual de DOS (VDM) es un entorno que emula Windows basado en MS-DOS y DOS en sistemas operativos basados en Windows NT. Se crea un VDM cada vez que un usuario inicia una aplicación MS-DOS en un sistema operativo basado en Windows NT.

¿Qué podría hacer un atacante para usar la vulnerabilidad?

Quién podría aprovechar la vulnerabilidad?

Para aprovechar la vulnerabilidad, un atacante debe poder iniciar sesión localmente en un sistema y ejecutar un programa.

¿Cómo podría un atacante aprovechar esta vulnerabilidad?

Para aprovechar esta vulnerabilidad, un atacante primero tendría que iniciar sesión en el sistema. Después, un atacante podría ejecutar una aplicación especialmente diseñada que podría aprovechar la vulnerabilidad y, por tanto, obtener un control completo sobre el sistema afectado.

¿Qué sistemas están principalmente en riesgo de la vulnerabilidad?

Las estaciones de trabajo y los servidores terminales están en riesgo. Los servidores solo están en riesgo si los usuarios que no tienen suficientes credenciales administrativas tienen la capacidad de iniciar sesión en servidores y ejecutar programas. Sin embargo, los procedimientos recomendados no desaconsejan encarecidamente permitir esto.

¿Podría aprovecharse la vulnerabilidad a través de Internet?

No. Un atacante debe poder iniciar sesión en el sistema específico dirigido a ataques. Un atacante no puede cargar y ejecutar un programa de forma remota mediante esta vulnerabilidad.

¿Qué hace la actualización?

Esta actualización modifica la forma en que Windows valida los datos al hacer referencia a ubicaciones de memoria asignadas a un VDM.

Negociar vulnerabilidad de SSP: CAN-2004-0119

Existe una vulnerabilidad de saturación del búfer en la interfaz Negotiate Security Software Provider (SSP) que podría permitir la ejecución remota de código. Esta vulnerabilidad existe debido a la forma en que la interfaz Negotiate SSP valida un valor que se usa durante la selección del protocolo de autenticación. Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado.

Mitigación de factores para negociar vulnerabilidad de SSP : CAN-2004-0119:

En los escenarios más comunes, esta vulnerabilidad es una vulnerabilidad de denegación de servicio .
La interfaz Negotiate SSP también está habilitada de forma predeterminada en Internet Information Services (IIS). Sin embargo, solo Windows 2000 (IIS 5.0) y Windows Server 2003 Web Server Edition (IIS 6.0) instalan Internet Information Services (IIS) de forma predeterminada.
Windows NT 4.0 no se ve afectado por esta vulnerabilidad.

Soluciones alternativas para negociar vulnerabilidades de SSP: CAN-2004-0119:

Soluciones alternativas para el vector de ataque de Internet Information Services
- Deshabilitar la autenticación integrada de Windows
  
  Administración istrators puede ayudar a reducir el riesgo de ataque a través de Internet Information Services deshabilitando Autenticación integrada de Windows. La información sobre cómo habilitar o deshabilitar esta opción está disponible en el siguiente sitio web.
  
  Impacto de la solución alternativa: las aplicaciones basadas en IIS que requieran autenticación de desafíos y respuestas de Windows NT (NTLM) o la autenticación Kerberos ya no funcionarán correctamente.
- Deshabilitar el SSP de Negociación
  
  Administración istrators puede deshabilitar solo el SSP de Negotiate (que mantiene NTLM habilitado) siguiendo las instrucciones del artículo de Microsoft Knowledge Base 215383, que se resume a continuación:
  
  Para deshabilitar Negotiate (y, por tanto, evitar la autenticación Kerberos), use el siguiente comando . Observe que "NTLM" debe estar en mayúsculas para evitar efectos adversos):
  
  cscript adsutil.vbs set w3svc/NTAuthenticationProviders “NTLM”
  
  Impacto de la solución alternativa: las aplicaciones basadas en IIS que requieran autenticación Kerberos ya no funcionarán correctamente.

Preguntas más frecuentes sobre la vulnerabilidad de SSP de Negotiate - CAN-2004-0119:

¿Cuál es el ámbito de la vulnerabilidad?

Se trata de una vulnerabilidad de saturación del búfer. Sin embargo, es más probable que sea una vulnerabilidad de denegación de servicio. Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado, incluida la instalación de programas; ver, cambiar o eliminar datos; o crear cuentas que tengan privilegios completos.

¿Qué causa la vulnerabilidad?

Un búfer desmarcado en la interfaz Negotiate SSP.

¿Qué es la interfaz proporcionada de compatibilidad con la seguridad negotiate?

Dado que Windows admite muchos tipos diferentes de autenticación, se debe negociar el método de autenticación que se usa cuando un cliente se conecta a un servidor. La interfaz Negotiate SSP es el componente del sistema operativo que proporciona esta funcionalidad. Se basa en el mecanismo de negociación simple y protegido de GSS-API (SPNEGO) que se define en RFC 2478. Para obtener más información sobre autenticación de Windows métodos, visite el siguiente sitio web.

¿Por qué se ve afectado Internet Information Services?

La interfaz negotiate SSP también está habilitada de forma predeterminada en Internet Information Services (IIS) para que IIS pueda usar protocolos de autenticación como NTLM o Kerberos para proporcionar acceso seguro a los recursos. Para obtener más información sobre los métodos de autenticación admitidos por IIS, visite el siguiente sitio web.

¿Qué podría hacer un atacante para usar la vulnerabilidad?

Aunque es más probable que solo se produzca una denegación de servicio, un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado, incluidos los programas de instalación; ver, cambiar o eliminar datos; o crear cuentas que tengan privilegios completos. Si un atacante hizo que el sistema afectado dejara de responder, un administrador podría restaurar la funcionalidad normal reiniciando el sistema afectado. Sin embargo, el sistema podría permanecer susceptible a un nuevo ataque de denegación de servicio hasta que se aplicó la actualización.

Quién podría aprovechar la vulnerabilidad?

Cualquier usuario anónimo que pudiera entregar un mensaje especialmente diseñado a un sistema afectado podría intentar aprovechar esta vulnerabilidad. Dado que esta característica está habilitada de forma predeterminada en todos los sistemas afectados, cualquier usuario que pudiera establecer una conexión con un sistema afectado podría intentar aprovechar esta vulnerabilidad.

¿Cómo podría un atacante aprovechar esta vulnerabilidad?

Un atacante podría aprovechar esta vulnerabilidad creando un mensaje de red especialmente diseñado y enviando el mensaje al sistema afectado.

¿Qué sistemas están principalmente en riesgo de la vulnerabilidad?

Todos los sistemas afectados podrían ser vulnerables a este problema de forma predeterminada. Además, de forma predeterminada, los sistemas que ejecutan Internet Information Services 5.0, Internet Information Services 5.1 e Internet Information Services 6.0 también son vulnerables a este problema a través de cualquier puerto de escucha.

¿Qué hace la actualización?

La actualización quita la vulnerabilidad modificando la forma en que la interfaz de Negociar SSP valida la longitud de un mensaje antes de pasar el mensaje al búfer asignado.

Vulnerabilidad SSL - CAN-2004-0120:

Existe una vulnerabilidad de denegación de servicio en la biblioteca Microsoft Secure Sockets Layer (SSL). La vulnerabilidad resulta de la forma en que la biblioteca SSL de Microsoft controla los mensajes SSL con formato incorrecto. Esta vulnerabilidad podría hacer que el sistema afectado deje de aceptar conexiones SSL en Windows 2000 y Windows XP. En Windows Server 2003, la vulnerabilidad podría hacer que el sistema afectado se reinicie automáticamente.

Mitigación de factores para la vulnerabilidad de SSL: CAN-2004-0120:

Solo los sistemas que han habilitado SSL se ven afectados, normalmente solo los sistemas de servidor. La compatibilidad con SSL no está habilitada de forma predeterminada en ninguno de los sistemas afectados. Sin embargo, SSL se usa generalmente en servidores web para admitir programas de comercio electrónico, banca en línea y otros programas que requieren comunicaciones seguras.
Los procedimientos recomendados de firewall y las configuraciones de firewall predeterminadas estándar pueden ayudar a proteger las redes frente a ataques que se originan fuera del perímetro de la empresa. Los procedimientos recomendados recomiendan que los sistemas conectados a Internet tengan un número mínimo de puertos expuestos.
Windows NT 4.0 no se ve afectado por esta vulnerabilidad.

Soluciones alternativas para la vulnerabilidad de SSL: CAN-2004-0120:

Bloquear los puertos 443 y 636 en el firewall

El puerto 443 se usa para recibir tráfico SSL. El puerto 636 se usa para las conexiones SSL LDAP (LDAPS). Bloquearlos en el firewall ayudará a evitar que los sistemas que están detrás de ese firewall intenten aprovechar esta vulnerabilidad. Se pueden encontrar otros puertos que se pueden usar para aprovechar esta vulnerabilidad. Sin embargo, los puertos enumerados aquí son los vectores de ataque más comunes. Microsoft recomienda bloquear todas las comunicaciones entrantes no solicitadas desde Internet para ayudar a evitar ataques que pueden usar otros puertos.

Impacto de la solución alternativa: si se bloquean los puertos 443 o 636, los sistemas afectados ya no pueden aceptar conexiones externas mediante SSL o LDAPS.

Preguntas más frecuentes sobre la vulnerabilidad ssl - CAN-2004-0120:

¿Cuál es el ámbito de la vulnerabilidad?

Una vulnerabilidad de denegación de servicio en la biblioteca microsoft Secure Sockets Layer (SSL) afecta a cómo controla los mensajes SSL especialmente diseñados. Esta vulnerabilidad podría hacer que el sistema afectado deje de aceptar conexiones SSL en Windows 2000 y en Windows XP. La vulnerabilidad de Windows Server 2003 podría hacer que el sistema afectado se reinicie automáticamente.

Tenga en cuenta que la vulnerabilidad de denegación de servicio no permitiría a los atacantes ejecutar código ni elevar sus privilegios, pero podría hacer que el sistema afectado deje de aceptar solicitudes.

¿Qué causa la vulnerabilidad?

Proceso usado por la biblioteca SSL para comprobar las entradas del mensaje.

¿Qué es la biblioteca capa de sockets seguros de Microsoft?

La biblioteca capa de sockets seguros de Microsoft contiene compatibilidad con varios protocolos de comunicación seguros. Estos incluyen seguridad de la capa de transporte 1.0 (TLS 1.0), capa de sockets seguros 3.0 (SSL 3.0), el protocolo Capa de sockets seguros 2.0 (SSL 2.0) y tecnología de comunicación privada 1.0 (PCT 1.0).

Estos protocolos proporcionan una conexión cifrada entre un servidor y un sistema cliente. SSL puede ayudar a proteger la información cuando los usuarios se conectan a través de redes públicas, como Internet. La compatibilidad con SSL requiere un certificado SSL, que debe instalarse en un servidor. Para obtener más información sobre SSL, consulte el artículo de Microsoft Knowledge Base 245152.

¿Qué podría hacer un atacante para usar la vulnerabilidad?

En Windows 2000 y Windows XP, un atacante que aprovechara correctamente esta vulnerabilidad podría provocar que un sistema afectado dejara de aceptar conexiones SSL. En Windows Server 2003, un atacante podría hacer que el sistema afectado se reinicie automáticamente. Durante ese tiempo, el sistema afectado no podría responder a las solicitudes de autenticación. Después del reinicio, el sistema afectado se restauraría a la funcionalidad típica. Sin embargo, seguiría siendo susceptible a un nuevo ataque de denegación de servicio a menos que se aplique la actualización.

Si un atacante aprovecha esta vulnerabilidad, se puede registrar un evento de error del sistema. El id. de evento 5000 se puede registrar en el registro de eventos del sistema, con el valor SymbolicName de "SPMEVENT_PACKAGE_FAULT" y la descripción siguiente:

"El nombre del paquete de seguridad generó una excepción", donde NAME contiene el valor de "Schannel" o "Proveedor de protocolos de seguridad unificado de Microsoft".

Quién podría aprovechar la vulnerabilidad?

Cualquier usuario anónimo que pudiera entregar un mensaje SSL especialmente diseñado a un sistema afectado podría intentar aprovechar esta vulnerabilidad.

¿Cómo podría un atacante aprovechar esta vulnerabilidad?

Un atacante podría aprovechar esta vulnerabilidad mediante la creación de un programa que pudiera comunicarse con un servidor vulnerable a través de un servicio habilitado para SSL para enviar un tipo específico de mensaje TCP especialmente diseñado. La recepción de este mensaje podría provocar un error en el sistema vulnerable de tal manera que podría provocar una denegación de servicio.

¿Qué sistemas están principalmente en riesgo de la vulnerabilidad?

Todos los sistemas que tienen SSL habilitado son vulnerables. Aunque SSL suele estar asociado a Internet Information Services mediante HTTPS y el puerto 443, es probable que cualquier servicio que implemente SSL en una plataforma afectada sea vulnerable. Esto incluye, entre otros, Internet Information Services 4.0, Internet Information Services 5.0, Internet Information Services 5.1, Exchange Server 5.5, Exchange Server 2000, Exchange Server 2003, Analysis Services 2000 (incluido con SQL Server 2000) y cualquier programa de terceros que use SSL.

Los controladores de dominio de Windows 2000 que están instalados en un dominio de Active Directory que también tiene instalada una entidad de certificación raíz de empresa se ven afectados por esta vulnerabilidad porque escuchan automáticamente las conexiones SSL seguras.

¿Qué hace la actualización?

La actualización quita la vulnerabilidad modificando el control de mensajes SSL especialmente diseñados.

Vulnerabilidad "Doble libre" de ASN.1: CAN-2004-0123

Existe una vulnerabilidad de ejecución remota de código en la biblioteca ASN.1 de Microsoft. La vulnerabilidad se debe a una posible condición de "doble libre" en la biblioteca asn.1 de Microsoft que podría provocar daños en la memoria en un sistema afectado. Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado. Sin embargo, en el escenario de ataque más probable, este problema es una vulnerabilidad de denegación de servicio .

Mitigación de factores para la vulnerabilidad "Doble libre" de ASN.1 : CAN-2004-0123:

Debido al diseño único de las estructuras de memoria en cada sistema afectado, aprovechar esta vulnerabilidad en una escala masiva podría ser potencialmente difícil.

Soluciones alternativas para la vulnerabilidad "Double Free" de ASN.1 : CAN-2004-0123:

Ninguno.

Preguntas más frecuentes sobre la vulnerabilidad "Double Free" de ASN.1 - CAN-2004-0123:

¿Cuál es el ámbito de la vulnerabilidad?

Aunque potencialmente es una vulnerabilidad de ejecución remota de código, es más probable que se trate de una vulnerabilidad de denegación de servicio . Sin embargo, un atacante que aprovechara correctamente esta vulnerabilidad para permitir la ejecución de código podría obtener un control completo sobre un sistema afectado, incluidos los programas de instalación; ver, cambiar o eliminar datos; o crear cuentas que tengan privilegios completos.

¿Qué causa la vulnerabilidad?

Existe una posible condición de "doble libre" que podría provocar daños en la memoria en la biblioteca ASN.1 de Microsoft.

¿Qué es una condición "doble libre"?

Un atacante podría provocar un sistema afectado, al procesar un mensaje especialmente diseñado, para intentar liberar o "liberar" memoria que puede haberse reservado para su uso varias veces. Liberar memoria que ya se ha liberado podría provocar daños en la memoria. Un atacante podría agregar código arbitrario a la memoria que se ejecuta cuando se producen daños. Después, este código se podría ejecutar en un nivel de privilegios del sistema.

Normalmente, esta vulnerabilidad hará que se produzca una denegación de servicio. Sin embargo, de forma limitada, podría producirse la ejecución del código. Debido al diseño único de la memoria en cada sistema afectado, aprovechar esta vulnerabilidad en una escala masiva podría ser potencialmente difícil.

¿Qué es ASN.1?

La notación de sintaxis abstracta 1 (ASN.1) es un lenguaje que se usa para definir estándares. Es utilizado por muchas aplicaciones y dispositivos del sector tecnológico para permitir el intercambio de datos en varias plataformas. ASN.1 no tiene ninguna relación directa con ningún método estándar específico, codificación, lenguaje de programación o plataforma de hardware. Para obtener más información sobre ASN.1, consulte el artículo de Microsoft Knowledge Base 252648.

¿Qué podría hacer un atacante para usar la vulnerabilidad?

Un atacante que aprovechara correctamente esta vulnerabilidad para permitir la ejecución de código podría tomar el control completo de un sistema afectado, incluidos los programas de instalación; ver, cambiar o eliminar datos; o crear cuentas que tengan privilegios completos.

En el escenario más probable, un atacante podría provocar una condición de denegación de servicio . Un administrador podría reiniciar el sistema afectado para restaurar la funcionalidad típica.

¿Cómo podría un atacante aprovechar esta vulnerabilidad?

Dado que ASN.1 es un estándar para muchas aplicaciones y dispositivos, hay muchos vectores de ataque potenciales. Para aprovechar correctamente esta vulnerabilidad, un atacante debe obligar a un sistema a descodificar datos ASN.1 especialmente diseñados. Por ejemplo, mediante el uso de protocolos de autenticación basados en ASN.1, un atacante podría construir una solicitud de autenticación especialmente diseñada que podría exponer esta vulnerabilidad.

¿Qué sistemas están principalmente en riesgo de esta vulnerabilidad?

Los sistemas de servidor están en mayor riesgo que los sistemas cliente, ya que es más probable que tengan un proceso de servidor que ejecute que descodifique los datos de ASN.1.

¿Windows 98, Windows 98 Second Edition o Windows Millennium Edition se ven afectados críticamente por esta vulnerabilidad?

No. Aunque Windows Millennium Edition contiene el componente afectado, la vulnerabilidad no es crítica. Para obtener más información sobre las clasificaciones de gravedad, visite el siguiente sitio web.

¿Qué hace la actualización?

La actualización quita la vulnerabilidad modificando el control de datos especialmente diseñados por la biblioteca ASN.1.

¿Cómo se relaciona esta vulnerabilidad con la vulnerabilidad corregida por MS04-007?

Ambas vulnerabilidades estaban en el componente ASN.1. Sin embargo, esta actualización corrige una vulnerabilidad recién notificada que no se ha solucionado como parte de MS04-007. MS04-007 protege completamente contra las vulnerabilidades descritas en ese boletín, pero esta actualización incluye todas las actualizaciones proporcionadas en MS04-007 y las reemplaza. Si instala esta actualización, no es necesario instalar MS04-007.

Información de actualización de seguridad

Plataformas de instalación y requisitos previos:

Para obtener información sobre la actualización de seguridad específica de la plataforma, haga clic en el vínculo adecuado:

Windows Server 2003 (todas las versiones)

Requisitos previos Esta actualización de seguridad requiere una versión publicada de Windows Server 2003.

Inclusión en Futuros Service Packs: la actualización de este problema se incluirá en Windows Server 2003 Service Pack 1.

Información de instalación

Esta actualización de seguridad admite los siguientes modificadores de configuración:

/help Muestra las opciones de la línea de comandos

Modos de configuración

/quiet Usar modo silencioso (sin interacción ni visualización del usuario)

Modo desatendido /pasivo (solo barra de progreso)

/uninstall Desinstala el paquete

Opciones de reinicio

/norestart No reiniciar cuando se complete la instalación

/forcerestart Restart after installation

Opciones especiales

/l Enumera las revisiones o los paquetes de actualización de Windows instalados

/o Sobrescribir archivos OEM sin preguntar

/n No hacer copias de seguridad de los archivos necesarios para la desinstalación

/f Forzar que otros programas se cierren cuando el equipo se apague

Nota Puede combinar estos modificadores en un comando. Para la compatibilidad con versiones anteriores, la actualización de seguridad también admite los modificadores de configuración que usa la versión anterior de la utilidad de instalación. Para obtener más información sobre los modificadores de instalación admitidos, vea el artículo de Microsoft Knowledge Base 262841.

Información de implementación

Para instalar la actualización de seguridad sin intervención del usuario, use el siguiente comando en un símbolo del sistema para Windows Server 2003:

Windowsserver2003-kb835732-x86-enu /passive /quiet

Para instalar la actualización de seguridad sin forzar el reinicio del sistema, use el siguiente comando en un símbolo del sistema para Windows Server 2003:

Windowsserver2003-kb835732-x86-enu /norestart

Para obtener información sobre cómo implementar esta actualización de seguridad con Software Update Services, visite el sitio web de Software Update Services.

Requisito de reinicio

Debe reiniciar el sistema después de aplicar esta actualización de seguridad.

Información de eliminación

Para quitar esta actualización, use la herramienta Agregar o quitar programas en Panel de control.

Los administradores del sistema también pueden usar la utilidad Spuninst.exe para quitar esta actualización de seguridad. La utilidad Spuninst.exe se encuentra en la carpeta %Windir%\$NTUninstallKB 835732$\Spuninst. La utilidad Spuninst.exe admite los siguientes modificadores de configuración:

/?: Mostrar la lista de modificadores de instalación.

/u: Use el modo desatendido.

/f: forzar a otros programas a salir cuando el equipo se apague.

/z: no reinicie cuando se complete la instalación.

/q: Usar el modo silencioso (sin interacción del usuario).

Información del archivo

La versión en inglés de esta actualización tiene los atributos de archivo (o posterior) que se enumeran en la tabla siguiente. Las fechas y horas de estos archivos se enumeran en la hora universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre hora UTC y hora local, use la pestaña Zona horaria de la herramienta Fecha y hora en Panel de control.

Windows Server 2003 Enterprise Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Web Edition y Windows Server 2003 Datacenter Edition:

Date Time Version Size File name Platform Folder
-----------------------------------------------------------------------------
16-Mar-2004 02:00 5.2.3790.132 364,544 Callcont.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.121 61,440 Eventlog.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 256,000 H323.tsp X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 601,600 H323msp.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.125 783,360 Helpctr.exe X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.142 448,512 Ipnathlp.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.134 799,232 Lsasrv.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.139 60,928 Msasn1.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 253,952 Mst120.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 73,728 Nmcom.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.121 565,760 Rtcdll.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 153,088 Schannel.dll X86 RTMGDR
16-Mar-2004 02:09 5.2.3790.132 364,544 Callcont.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.121 64,000 Eventlog.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 256,000 H323.tsp X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 601,600 H323msp.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.125 783,360 Helpctr.exe X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.142 448,512 Ipnathlp.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.134 801,280 Lsasrv.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.139 60,928 Msasn1.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 253,952 Mst120.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 73,728 Nmcom.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.121 565,760 Rtcdll.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 153,088 Schannel.dll X86 RTMQFE

Windows Server 2003 64-Bit Enterprise Edition y Windows Server 2003 64-Bit Datacenter Edition:

Date Time Version Size File name Platform Folder
-----------------------------------------------------------------------------
16-Mar-2004 01:54 5.2.3790.121 160,768 Eventlog.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 816,128 H323.tsp IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMGDR
05-Feb-2004 00:43 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.134 2,034,176 Lsasrv.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.139 160,256 Msasn1.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 479,744 Schannel.dll IA64 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 256,000 Wh323.tsp X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 601,600 Wh323msp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 153,088 Wschannel.dll X86 RTMGDR\WOW
16-Mar-2004 02:12 5.2.3790.121 167,424 Eventlog.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 816,128 H323.tsp IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMQFE
05-Feb-2004 00:42 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.134 2,038,272 Lsasrv.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.139 160,256 Msasn1.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 479,744 Schannel.dll IA64 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 256,000 Wh323.tsp X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 601,600 Wh323msp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 153,088 Wschannel.dll X86 RTMQFE\WOW

Nota Al instalar esta actualización de seguridad en Windows Server 2003 o en Windows XP 64-Bit Edition versión 2003, el instalador comprueba si alguno de los archivos que se actualizan en el sistema ha sido actualizado previamente por una revisión de Microsoft. Si ha instalado previamente una revisión para actualizar uno de estos archivos, el instalador copia los archivos RTMQFE en el sistema. De lo contrario, el instalador copia los archivos RTMGDR en el sistema. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 824994.

Comprobación de la instalación de actualizaciones

Para comprobar que una actualización de seguridad está instalada en un sistema afectado, puede usar la herramienta Microsoft Baseline Security Analyzer (MBSA), que permite a los administradores examinar los sistemas locales y remotos para detectar actualizaciones de seguridad que faltan y para configuraciones incorrectas de seguridad comunes. Para obtener más información sobre MBSA, visite el sitio web del Analizador de seguridad de línea de base de Microsoft.

También puede comprobar los archivos que ha instalado esta actualización de seguridad revisando la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Novedades\Windows Server 2003\SP1\KB835732\Filelist

Nota Esta clave del Registro puede no crearse correctamente si un administrador o un OEM integra o desliza la actualización de seguridad de 835732 en los archivos de origen de instalación de Windows.

Windows XP (todas las versiones)

Nota Para Windows XP 64-Bit Edition versión 2003, esta actualización de seguridad es la misma que la actualización de seguridad de Windows Server 2003 de 64 bits Edition.

Requisitos previos Esta actualización de seguridad requiere la versión publicada de Windows XP o Windows XP Service Pack 1 (SP1). Para obtener más información, consulte el artículo de Microsoft Knowledge Base 322389.

Las actualizaciones de estos problemas se incluirán en Windows XP Service Pack 2.

Información de instalación

Esta actualización de seguridad admite los siguientes modificadores de configuración:

/help Muestra las opciones de la línea de comandos

Modos de configuración

/quiet Usar modo silencioso (sin interacción ni visualización del usuario)

Modo desatendido /pasivo (solo barra de progreso)

/uninstall Desinstala el paquete

Opciones de reinicio

/norestart No reiniciar cuando se complete la instalación

/forcerestart Restart after installation

Opciones especiales

/l Enumera las revisiones o los paquetes de actualización de Windows instalados

/o Sobrescribir archivos OEM sin preguntar

/n No hacer copias de seguridad de los archivos necesarios para la desinstalación

/f Forzar que otros programas se cierren cuando el equipo se apague

Información de implementación

Para instalar la actualización de seguridad sin intervención del usuario, use el siguiente comando en un símbolo del sistema para Windows XP:

Windowsxp-kb835732-x86-enu /passive /quiet

Para instalar la actualización de seguridad sin forzar el reinicio del sistema, use el siguiente comando en un símbolo del sistema para Windows XP:

Windowsxp-kb835732-x86-enu /norestart

Para obtener información sobre cómo implementar esta actualización de seguridad con Software Update Services, visite el sitio web de Software Update Services.

Requisito de reinicio

Debe reiniciar el sistema después de aplicar esta actualización de seguridad.

Información de eliminación

Para quitar esta actualización, use la herramienta Agregar o quitar programas en Panel de control.

/?: Mostrar la lista de modificadores de instalación.

/u: Use el modo desatendido.

/f: forzar a otros programas a salir cuando el equipo se apague.

/z: no reinicie cuando se complete la instalación.

/q: Usar el modo silencioso (sin interacción del usuario).

Información del archivo

Windows XP Home Edition, Windows XP Professional, Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition y Windows XP Media Center Edition:

Date Time Version Size File name Folder
-----------------------------------------------------------------------
27-Mar-2004 01:01 5.1.2600.105 48,640 Browser.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.133 364,544 Callcont.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.136 40,960 Evtgprov.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.132 241,664 Gdi32.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 253,440 H323.tsp (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 593,408 H323msp.dll (pre-sp1)
05-Feb-2004 22:14 5.1.2600.128 727,040 Helpctr.exe (pre-sp1)
27-Mar-2004 01:01 5.1.2600.137 454,656 Ipnathlp.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 648,192 Lsasrv.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.132 36,864 Mf3216.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.137 51,712 Msasn1.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.128 969,216 Msgina.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.133 253,952 Mst120.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.122 301,568 Netapi32.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.133 73,728 Nmcom.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 550,400 Rtcdll.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.136 136,704 Schannel.dll (pre-sp1)
26-Mar-2004 19:43 5.1.2600.1348 364,544 Callcont.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1363 40,960 Evtgprov.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1346 257,536 Gdi32.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 253,440 H323.tsp (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 593,408 H323msp.dll (with sp1)
26-Mar-2004 19:30 5.1.2600.1340 741,376 Helpctr.exe (with sp1)
26-Mar-2004 19:43 5.1.2600.1364 439,808 Ipnathlp.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1361 667,648 Lsasrv.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1331 36,864 Mf3216.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1362 51,712 Msasn1.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1343 971,264 Msgina.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 253,952 Mst120.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1343 306,176 Netapi32.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 73,728 Nmcom.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1351 548,352 Rtcdll.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1347 136,704 Schannel.dll (with sp1)
10-Mar-2004 17:59 5.1.2600.1363 593,408 Xpsp2res.dll (with sp1)

Windows XP 64-Bit Edition Service Pack 1:

Date Time Version Size File name Platform
--------------------------------------------------------------------------
26-Mar-2004 19:40 5.1.2600.1363 134,656 Evtgprov.dll IA64
26-Mar-2004 19:40 5.1.2600.1346 884,736 Gdi32.dll IA64
26-Mar-2004 19:40 5.1.2600.1348 1,035,264 H323.tsp IA64
26-Mar-2004 19:40 5.1.2600.1348 2,230,272 H323msp.dll IA64
05-Feb-2004 21:40 5.1.2600.1340 2,426,368 Helpctr.exe IA64
26-Mar-2004 19:40 5.1.2600.1364 1,782,784 Ipnathlp.dll IA64
26-Mar-2004 19:40 5.1.2600.1361 2,069,504 Lsasrv.dll IA64
26-Mar-2004 19:40 5.1.2600.1331 128,512 Mf3216.dll IA64
26-Mar-2004 19:40 5.1.2600.1362 179,200 Msasn1.dll IA64
26-Mar-2004 19:40 5.1.2600.1343 1,272,320 Msgina.dll IA64
26-Mar-2004 19:40 5.1.2600.1343 903,168 Netapi32.dll IA64
26-Mar-2004 19:40 5.1.2600.1347 508,416 Schannel.dll IA64
26-Mar-2004 19:43 5.1.2600.1346 237,568 Wgdi32.dll X86
26-Mar-2004 19:43 5.1.2600.1348 253,440 Wh323.tsp X86
26-Mar-2004 19:43 5.1.2600.1348 593,408 Wh323msp.dll X86
26-Mar-2004 19:43 5.1.2600.1364 439,808 Wipnathlp.dll X86
26-Mar-2004 19:43 5.1.2600.1331 36,864 Wmf3216.dll X86
26-Mar-2004 19:43 5.1.2600.1362 51,712 Wmsasn1.dll X86
26-Mar-2004 19:43 5.1.2600.1343 971,264 Wmsgina.dll X86
26-Mar-2004 19:43 5.1.2600.1343 306,176 Wnetapi32.dll X86
26-Mar-2004 19:43 5.1.2600.1347 136,704 Wschannel.dll X86
10-Mar-2004 17:59 5.1.2600.1363 593,408 Wxpsp2res.dll X86
10-Mar-2004 17:59 5.1.2600.1363 592,896 Xpsp2res.dll IA64

Windows XP 64-Bit Edition versión 2003:

Date Time Version Size File name Platform Folder
-----------------------------------------------------------------------------
16-Mar-2004 01:54 5.2.3790.121 160,768 Eventlog.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 816,128 H323.tsp IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMGDR
05-Feb-2004 00:43 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.134 2,034,176 Lsasrv.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.139 160,256 Msasn1.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 479,744 Schannel.dll IA64 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 256,000 Wh323.tsp X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 601,600 Wh323msp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 153,088 Wschannel.dll X86 RTMGDR\WOW
16-Mar-2004 02:12 5.2.3790.121 167,424 Eventlog.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 816,128 H323.tsp IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMQFE
05-Feb-2004 00:42 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.134 2,038,272 Lsasrv.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.139 160,256 Msasn1.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 479,744 Schannel.dll IA64 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 256,000 Wh323.tsp X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 601,600 Wh323msp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 153,088 Wschannel.dll X86 RTMQFE\WOW

Nota Las versiones de Windows XP y Windows XP 64-Bit Edition 2003 de esta actualización de seguridad se empaquetan como paquetes de modo dual, que contienen archivos para la versión original de Windows XP y Windows XP Service Pack 1 (SP1). Para obtener más información sobre los paquetes de modo dual, consulte el artículo 328848 de Microsoft Knowledge Base.

Al instalar la actualización de seguridad de Windows XP 64 Bits Edition versión 2003, el instalador comprueba si alguno de los archivos que se están actualizando en el sistema anteriormente se actualizó mediante una revisión de Microsoft. Si ha instalado previamente una revisión para actualizar uno de estos archivos, el instalador copia los archivos RTMQFE en el sistema. De lo contrario, el instalador copia los archivos RTMGDR en el sistema. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 824994.

Comprobación de la instalación de actualizaciones

También puede comprobar los archivos que ha instalado esta actualización de seguridad revisando las siguientes claves del Registro:

Para Windows XP Home Edition, Windows XP Professional, Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP 64-Bit Edition Service Pack 1, Windows XP Tablet PC Edition y Windows XP Media Center Edition:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Novedades\Windows XP\SP2\KB835732\Filelist

Para Windows XP 64 bits Edition, versión 2003:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Novedades\Windows Server 2003\SP1\KB835732\Filelist

Windows 2000 (todas las versiones)

Requisitos previos para Windows 2000, esta actualización de seguridad requiere Service Pack 2 (SP2), Service Pack 3 (SP3) o Service Pack 4 (SP4).

El software enumerado anteriormente se ha probado para determinar si las versiones se ven afectadas. Otras versiones ya no incluyen compatibilidad con actualizaciones de seguridad o pueden no verse afectadas. Para determinar el ciclo de vida de soporte técnico del producto y la versión, visite el sitio web de Soporte técnico de Microsoft ciclo de vida.

Para obtener más información sobre cómo obtener el Service Pack más reciente, consulte el artículo 260910 de Microsoft Knowledge Base.

Inclusión en Futuros Service Packs: la actualización de este problema se incluirá en Windows 2000 Service Pack 5.

Información de instalación

Esta actualización de seguridad admite los siguientes modificadores de configuración:

/help Muestra las opciones de la línea de comandos

Modos de configuración

/quiet Usar modo silencioso (sin interacción ni visualización del usuario)

Modo desatendido /pasivo (solo barra de progreso)

/uninstall Desinstala el paquete

Opciones de reinicio

/norestart No reiniciar cuando se complete la instalación

/forcerestart Restart after installation

Opciones especiales

/l Enumera las revisiones o los paquetes de actualización de Windows instalados

/o Sobrescribir archivos OEM sin preguntar

/n No hacer copias de seguridad de los archivos necesarios para la desinstalación

/f Forzar que otros programas se cierren cuando el equipo se apague

Información de implementación

Para instalar la actualización de seguridad sin intervención del usuario, use el siguiente comando en un símbolo del sistema para Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 y Windows 2000 Service Pack 4:

Windows2000-kb835732-x86-enu /passive /quiet

Para instalar la actualización de seguridad sin forzar el reinicio del sistema, use el siguiente comando en un símbolo del sistema para Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 y Windows 2000 Service Pack 4:

Windows2000-kb835732-x86-enu /norestart

Para obtener información sobre cómo implementar esta actualización de seguridad con Software Update Services, visite el sitio web de Software Update Services.

Requisito de reinicio

Debe reiniciar el sistema después de aplicar esta actualización de seguridad.

Información de eliminación

Para quitar esta actualización, use la herramienta Agregar o quitar programas en Panel de control.

/?: Mostrar la lista de modificadores de instalación.

/u: Use el modo desatendido.

/f: forzar a otros programas a salir cuando el equipo se apague.

/z: no reinicie cuando se complete la instalación.

/q: Usar el modo silencioso (sin interacción del usuario).

Información del archivo

Nota La información de fecha y hora podría cambiar durante la instalación. La información de versión, tamaño y nombre de archivo debe usarse para determinar la exactitud de los archivos.

Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 y Windows 2000 Service Pack 4:

Date Time Version Size File name Folder
-----------------------------------------------------------------------
24-Mar-2004 02:17 5.0.2195.6876 388,368 Advapi32.dll
24-Mar-2004 02:17 5.0.2195.6824 42,256 Basesrv.dll
24-Mar-2004 02:17 5.0.2195.6866 69,904 Browser.dll
24-Mar-2004 02:17 5.0.2195.6901 394,512 Callcont.dll
21-Sep-2003 00:45 5.0.2195.6824 236,304 Cmd.exe
24-Mar-2004 02:17 5.131.2195.6824 543,504 Crypt32.dll
24-Mar-2004 02:17 5.131.2195.6824 61,200 Cryptnet.dll
24-Mar-2004 02:17 5.0.2195.6868 76,048 Cryptsvc.dll
24-Mar-2004 02:17 5.0.2195.6824 134,928 Dnsapi.dll
24-Mar-2004 02:17 5.0.2195.6876 92,432 Dnsrslvr.dll
24-Mar-2004 02:17 5.0.2195.6883 47,888 Eventlog.dll
24-Mar-2004 02:17 5.0.2195.6898 242,448 Gdi32.dll
24-Mar-2004 02:17 5.0.2195.6901 255,248 H323.tsp
24-Mar-2004 00:46 502 Hfsecper.inf
17-Mar-2004 21:50 502 Hfsecupd.inf
24-Mar-2004 02:17 5.0.2195.6902 442,640 Ipnathlp.dll
24-Mar-2004 02:17 5.0.2195.6890 143,632 Kdcsvc.dll
11-Mar-2004 02:37 5.0.2195.6903 210,192 Kerberos.dll
24-Mar-2004 02:17 5.0.2195.6897 742,160 Kernel32.dll
21-Sep-2003 00:32 5.0.2195.6824 71,888 Ksecdd.sys
11-Mar-2004 02:37 5.0.2195.6902 520,976 Lsasrv.dll
25-Feb-2004 23:59 5.0.2195.6902 33,552 Lsass.exe
24-Mar-2004 02:17 5.0.2195.6898 37,136 Mf3216.dll
10-Feb-2004 19:47 5.0.2195.6897 30,160 Mountmgr.sys
24-Mar-2004 02:17 5.0.2195.6824 54,544 Mpr.dll
24-Mar-2004 02:17 5.0.2195.6905 53,520 Msasn1.dll
24-Mar-2004 02:17 5.0.2195.6895 335,120 Msgina.dll
24-Mar-2004 02:17 5.0.2195.6901 249,616 Mst120.dll
11-Mar-2004 02:37 5.0.2195.6897 123,152 Msv1_0.dll
24-Mar-2004 02:17 5.0.2195.6897 312,592 Netapi32.dll
24-Mar-2004 02:17 5.0.2195.6891 371,472 Netlogon.dll
24-Mar-2004 02:17 5.0.2195.6901 62,224 Nmcom.dll
24-Mar-2004 02:17 5.0.2195.6899 497,936 Ntdll.dll
24-Mar-2004 02:17 5.0.2195.6896 1,028,880 Ntdsa.dll
25-Feb-2004 23:55 5.0.2195.6902 1,699,904 Ntkrnlmp.exe
25-Feb-2004 23:55 5.0.2195.6902 1,699,264 Ntkrnlpa.exe
25-Feb-2004 23:55 5.0.2195.6902 1,720,064 Ntkrpamp.exe
11-Mar-2004 02:37 5.0.2195.6902 1,726,032 Ntoskrnl.exe
24-Mar-2004 02:17 5.0.2195.6824 115,984 Psbase.dll
24-Mar-2004 02:17 5.0.2195.6892 90,264 Rdpwd.sys
24-Mar-2004 02:17 5.0.2195.6897 49,936 Samlib.dll
24-Mar-2004 02:17 5.0.2195.6897 388,368 Samsrv.dll
24-Mar-2004 02:17 5.0.2195.6893 111,376 Scecli.dll
24-Mar-2004 02:17 5.0.2195.6903 253,200 Scesrv.dll
11-Mar-2004 02:37 5.1.2195.6899 143,120 Schannel.dll
19-Jun-2003 20:05 5.0.2195.6707 17,168 Seclogon.dll
24-Mar-2004 02:17 5.0.2195.6894 971,536 Sfcfiles.dll
05-Feb-2004 20:18 5.0.2195.6896 5,869,056 Sp3res.dll
24-Mar-2004 02:17 1.0.0.4 27,920 Umandlg.dll
24-Mar-2004 02:17 5.0.2195.6897 403,216 User32.dll
05-Aug-2003 22:14 5.0.2195.6794 385,808 Userenv.dll
24-Mar-2004 02:17 5.0.2195.6824 50,960 W32time.dll
21-Sep-2003 00:32 5.0.2195.6824 57,104 W32tm.exe
11-Mar-2004 02:37 5.0.2195.6897 1,720,368 Win32k.sys
12-Dec-2003 21:38 5.1.2600.1327 311,296 Winhttp.dll
11-Mar-2004 02:37 5.0.2195.6898 181,520 Winlogon.exe
25-Sep-2003 18:08 5.0.2195.6826 243,984 Winsrv.dll
24-Mar-2004 02:17 5.131.2195.6824 167,184 Wintrust.dll
24-Mar-2004 02:17 5.0.2195.6897 742,160 Kernel32.dll Uniproc
24-Mar-2004 02:17 5.0.2195.6899 497,936 Ntdll.dll Uniproc
11-Mar-2004 02:37 5.0.2195.6897 1,720,368 Win32k.sys Uniproc
25-Sep-2003 18:08 5.0.2195.6826 243,984 Winsrv.dll Uniproc

Comprobación de la instalación de actualizaciones

También puede comprobar los archivos que ha instalado esta actualización de seguridad revisando la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Novedades\Windows 2000\SP5\KB835732\Filelist

Windows NT 4.0 (todas las versiones)

Requisitos previos Esta actualización de seguridad requiere Windows NT Workstation 4.0 Service Pack 6a (SP6a), Windows NT Server 4.0 Service Pack 6a (SP6a) o Windows NT Server 4.0 Terminal Server Edition Service Pack 6 (SP6).

Nota La actualización de seguridad de Windows NT Server 4.0 Terminal Server Edition Service Pack 6 requiere, como requisito previo, el paquete acumulativo de seguridad de Windows NT Server 4.0 Terminal Server Edition (SRP). Para descargar el SRP, visite el siguiente sitio web. Debe instalar el SRP antes de instalar la actualización de seguridad que se proporciona en este boletín de seguridad. Si no usa Windows NT Server 4.0 Terminal Server Edition Service Pack 6, no es necesario instalar el SRP.

Para obtener más información sobre cómo obtener el Service Pack más reciente, consulte el artículo de Microsoft Knowledge Base 152734.

Información de instalación

Esta actualización de seguridad admite los siguientes modificadores de configuración:

/y: Realizar la eliminación (solo con /m o /q )

/f: Forzar la salida de los programas durante el proceso de apagado

/n: No crear una carpeta de desinstalación

/z: No reiniciar cuando se complete la actualización

/q: Usar modo silencioso o desatendido sin interfaz de usuario (este modificador es un superconjunto de /m )

/m: Usar el modo desatendido con una interfaz de usuario

/l: Enumerar las revisiones instaladas

/x: Extraer los archivos sin ejecutar el programa de instalación

Nota Puede combinar estos modificadores en un comando. Para obtener más información sobre los modificadores de instalación admitidos, consulte el artículo 262841 de Microsoft Knowledge Base.

Información de implementación

Para instalar la actualización de seguridad sin intervención del usuario, use el siguiente comando en un símbolo del sistema para Windows NT 4.0:

Windowsnt4server-kb835732-x86-enu /q

Para Windows NT Server 4.0 Terminal Server Edition:

Windowsnt4terminalserver-kb835732-x86-enu /q

Para Windows NT Workstation 4.0:

Windowsnt4workstation-kb835732-x86-enu /q

Para instalar la actualización de seguridad sin forzar el reinicio del sistema, use el siguiente comando en un símbolo del sistema para Windows NT Server 4.0:

Windowsnt4server-kb835732-x86-enu /z

Para Windows NT Server 4.0 Terminal Server Edition:

Windowsnt4terminalserver-kb835732-x86-enu /z

Para Windows NT Workstation 4.0:

Windowsnt4workstation-kb835732-x86-enu /z

Para obtener más información sobre cómo implementar esta actualización de seguridad con Software Update Services, visite el sitio web de Software Update Services.

Requisito de reinicio

Debe reiniciar el sistema después de aplicar esta actualización de seguridad.

Información de eliminación

Para quitar esta actualización de seguridad, use la herramienta Agregar o quitar programas en Panel de control.

Los administradores del sistema pueden usar la utilidad Hotfix.exe para quitar esta actualización de seguridad. La utilidad Hotfix.exe se encuentra en la carpeta %Windir%\$NTUninstallKB 835732$. La utilidad Hotfix.exe admite los siguientes modificadores de configuración:

/y: Realizar la eliminación (solo con el modificador /m o /q )

/f: Forzar la salida de los programas durante el proceso de apagado

/n: No crear una carpeta de desinstalación

/z: No reiniciar una vez completada la instalación

/q: Usar modo silencioso o desatendido sin interfaz de usuario (este modificador es un superconjunto del modificador /m )

/m: Usar el modo desatendido con una interfaz de usuario

/l: Enumerar las revisiones instaladas

Información del archivo

Nota La información de fecha y hora podría cambiar durante la instalación. La información de versión, tamaño y nombre de archivo debe usarse para determinar la exactitud de los archivos.

Windows NT Workstation 4.0

Date Time Version Size File name Folder
--------------------------------------------------------------------
24-Jan-2004 00:12 5.131.1880.14 465,680 Crypt32.dll
25-Sep-2002 21:36 5.0.1558.6072 90,384 Cryptdlg.dll
12-Dec-2003 00:10 5.131.1878.14 440,080 Cryptui.dll
27-Feb-2004 16:43 4.0.1381.7263 205,584 Gdi32.dll
23-Feb-2004 15:13 4.0.1381.7263 40,720 Mf3216.dll
05-Mar-2004 23:59 5.0.2195.6905 53,520 Msasn1.dll
28-Feb-2004 01:31 5.131.1880.14 37,136 Mscat32.dll
09-Jan-2004 15:40 4.0.1381.7255 125,200 Msgina.dll
07-Jan-2003 02:22 5.131.1878.13 28,432 Mssip32.dll
18-Mar-2004 10:20 4.0.1381.7265 958,336 Ntkrnlmp.exe
18-Mar-2004 10:20 4.0.1381.7265 937,984 Ntoskrnl.exe
25-Oct-2003 01:13 4.86.1964.1880 143,632 Schannel.dll
12-Dec-2003 22:24 5.131.1880.14 6,928 Softpub.dll
27-Feb-2004 16:43 4.0.1381.7255 326,928 User32.dll
07-Jan-2004 10:47 4.0.1381.7255 1,255,152 Win32k.sys
27-Feb-2004 16:43 4.0.1381.7260 174,864 Winsrv.dll
19-Feb-2004 17:50 5.131.1880.14 165,648 Wintrust.dll
25-Oct-2003 01:13 4.87.1964.1880 112,912 Schannel.dll 128bit

Windows NT Server 4.0:

Date Time Version Size File name Folder
-----------------------------------------------------------------------
24-Jan-2004 00:12 5.131.1880.14 465,680 Crypt32.dll
25-Sep-2002 21:36 5.0.1558.6072 90,384 Cryptdlg.dll
12-Dec-2003 00:10 5.131.1878.14 440,080 Cryptui.dll
27-Feb-2004 16:43 4.0.1381.7263 205,584 Gdi32.dll
23-Feb-2004 15:13 4.0.1381.7263 40,720 Mf3216.dll
05-Mar-2004 23:59 5.0.2195.6905 53,520 Msasn1.dll
28-Feb-2004 01:31 5.131.1880.14 37,136 Mscat32.dll
09-Jan-2004 15:40 4.0.1381.7255 125,200 Msgina.dll
07-Jan-2003 02:22 5.131.1878.13 28,432 Mssip32.dll
18-Mar-2004 10:20 4.0.1381.7265 958,336 Ntkrnlmp.exe
18-Mar-2004 10:20 4.0.1381.7265 937,984 Ntoskrnl.exe
25-Oct-2003 01:13 4.86.1964.1880 143,632 Schannel.dll
12-Dec-2003 22:24 5.131.1880.14 6,928 Softpub.dll
27-Feb-2004 16:43 4.0.1381.7255 326,928 User32.dll
07-Jan-2004 10:47 4.0.1381.7255 1,255,152 Win32k.sys
27-Feb-2004 16:43 4.0.1381.7260 174,864 Winsrv.dll
19-Feb-2004 17:50 5.131.1880.14 165,648 Wintrust.dll
25-Oct-2003 01:13 4.87.1964.1880 112,912 Schannel.dll 128 Bit

Windows NT Server 4.0 Terminal Server Edition:

Date Time Version Size File name Folder
-----------------------------------------------------------------------
24-Jan-2004 00:12 5.131.1880.14 465,680 Crypt32.dll
25-Sep-2002 21:36 5.0.1558.6072 90,384 Cryptdlg.dll
12-Dec-2003 00:10 5.131.1878.14 440,080 Cryptui.dll
24-Feb-2004 18:25 4.0.1381.33562 206,096 Gdi32.dll
24-Feb-2004 18:25 4.0.1381.33562 40,208 Mf3216.dll
05-Mar-2004 23:59 5.0.2195.6905 53,520 Msasn1.dll
28-Feb-2004 01:31 5.131.1880.14 37,136 Mscat32.dll
09-Jan-2004 15:41 4.0.1381.33559 208,656 Msgina.dll
07-Jan-2003 02:22 5.131.1878.13 28,432 Mssip32.dll
18-Mar-2004 11:44 4.0.1381.33563 1,004,160 Ntkrnlmp.exe
18-Mar-2004 11:44 4.0.1381.33563 983,104 Ntoskrnl.exe
25-Oct-2003 01:13 4.86.1964.1880 143,632 Schannel.dll
12-Dec-2003 22:24 5.131.1880.14 6,928 Softpub.dll
19-Aug-2003 13:58 4.0.1381.33552 332,048 User32.dll
26-Jan-2004 16:59 4.0.1381.33559 1,280,816 Win32k.sys
16-Dec-2003 17:56 4.0.1381.33559 196,368 Winsrv.dll
19-Feb-2004 17:50 5.131.1880.14 165,648 Wintrust.dll
25-Oct-2003 01:13 4.87.1964.1880 112,912 Schannel.dll 128bit

Comprobación de la instalación de actualizaciones

También puede comprobar los archivos que ha instalado esta actualización de seguridad revisando la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB835732\File 1

Otra información

Confirmaciones

Microsoft agradece lo siguiente por trabajar con nosotros para ayudar a proteger a los clientes:

Carlos Sarraute of Core Security Technologies for reporting the LDAP Vulnerability (CAN-2003-0663).
Sistemas de seguridad de Internet para notificar la vulnerabilidad del PCT (CAN-2003-0719).
Ondrej Sevecek para notificar la vulnerabilidad de Winlogon (CAN-2003-0806).
iDefense y Jouko Pynnönen para informar de la vulnerabilidad de ayuda y soporte técnico (CAN-2003-0907).
Brett Moore de Security-Assessment.com, Cesar Cerrudo y Ben Pryor para informar de la vulnerabilidad del administrador de la utilidad (CAN-2003-0908).
Erik Kamphuis de LogicaCMG trabaja en nombre de la Oficina de Impuestos neerlandés para informar de la vulnerabilidad de administración de Windows (CAN-2003-0909).
Equipo de seguridad de NSFOCUS para informar de la vulnerabilidad negociar SSP (CAN-2004-0119).
John Lampe of Tenable Network Security for reporting the SSL Vulnerability (CAN-2004-0120)
Foundstone Labs y Qualys para notificar la vulnerabilidad "Double Free" de ASN.1 (CAN-2004-0123).
Seguridad digital de eEye para notificar la vulnerabilidad de LSASS (CAN-2003-0533), vulnerabilidad de metarchivo (CAN-2003-0906), vulnerabilidad de tabla de descriptores locales (CAN-2003-0910) y vulnerabilidad de la máquina virtual de DOS (CAN-2004-0118)

Obtener otras actualizaciones de seguridad:

Novedades para otros problemas de seguridad están disponibles en las siguientes ubicaciones:

Las actualizaciones de seguridad están disponibles en el Centro de descarga de Microsoft: puede encontrarlos más fácilmente haciendo una búsqueda de palabra clave para "security_patch".
Novedades para plataformas de consumidor están disponibles en Sitio web de Windows Update.

Soporte técnico:

Los clientes de Estados Unidos y Canadá pueden obtener soporte técnico de los Servicios de soporte técnico de Microsoft en 1-866-PCSAFETY. No hay ningún cargo por las llamadas de soporte técnico asociadas a las actualizaciones de seguridad.
Los clientes internacionales pueden obtener soporte técnico de sus subsidiarias locales de Microsoft. No hay ningún cargo por el soporte técnico asociado a las actualizaciones de seguridad. Para obtener más información sobre cómo ponerse en contacto con Microsoft para problemas de soporte técnico, visite el sitio web de soporte técnico internacional.

Recursos de seguridad:

El sitio web de Microsoft TechNet Security proporciona información adicional sobre la seguridad en los productos de Microsoft.
Microsoft Software Update Services
Analizador de seguridad de línea base de Microsoft (MBSA)
Windows Update
Catálogo de Windows Update: para obtener más información sobre el catálogo de Windows Update, consulte el artículo de Microsoft Knowledge Base 323166.
Office Update

Software Update Services (SUS):

Microsoft Software Update Services (SUS) permite a los administradores implementar de forma rápida y confiable las últimas actualizaciones críticas y actualizaciones de seguridad en servidores basados en Windows® 2000 y Windows Server™ 2003, así como en sistemas de escritorio que ejecutan Windows 2000 Professional o Windows XP Professional.

Para obtener información sobre cómo implementar esta actualización de seguridad con Software Update Services, visite el sitio web de Software Update Services .

Servidor de administración de sistemas (SMS):

Systems Management Server puede proporcionar ayuda para implementar esta actualización de seguridad. Para obtener información sobre Systems Management Server, visite el sitio web de SMS. Para obtener información detallada sobre las numerosas mejoras del proceso de implementación de actualizaciones de seguridad que proporciona SMS 2003, visite el sitio web de administración de revisiones de seguridad de SMS 2003. Para los usuarios de SMS 2.0, también proporciona varias herramientas adicionales para ayudar a los administradores a implementar actualizaciones de seguridad como SMS 2.0 Software Update Services Feature Pack y SMS 2.0 Administración istration Feature Pack. El Feature Pack de SERVICIOS de actualización de software sms 2.0 utiliza el Analizador de seguridad de línea de base de Microsoft y la herramienta de detección de Microsoft Office para proporcionar una amplia compatibilidad con la corrección del boletín de seguridad. Algunas actualizaciones de software pueden requerir derechos administrativos después de reiniciar el equipo

Nota Las funcionalidades de inventario del Feature Pack de servicios de actualización de software sms 2.0 se pueden usar para dirigir las actualizaciones a equipos específicos y se puede usar la herramienta de implementación de derechos elevados de SMS 2.0 Administración istration Feature Pack para la instalación. Esto proporciona una implementación óptima para las actualizaciones que requieren un destino explícito mediante Systems Management Server y derechos administrativos después de reiniciar el equipo.

Renuncia:

La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.

Revisiones:

V1.0 13 de abril de 2004: Boletín publicado
V1.1 21 de abril de 2004: Boletín actualizado para reflejar la información actualizada en la Sección de reemplazo de actualizaciones. El boletín también se ha actualizado para reflejar el cambio en el comportamiento de detección de MBSA, tal como se describe en la sección preguntas más frecuentes actualizadas. El boletín también contiene revisiones a la sección de soluciones alternativas para la vulnerabilidad del Administrador de utilidades (CAN-2003-0908).
V1.2 de abril de 28 de 2004: sección Advertencias actualizadas para reflejar la disponibilidad de un artículo revisado de Microsoft Knowledge Base 835732. Documenta los problemas conocidos que los clientes pueden experimentar al instalar esta actualización de seguridad. En el artículo también se documentan soluciones recomendadas para estos problemas.
V1.3 4 de mayo de 2004: Se ha agregado información nueva en la sección Soluciones alternativas para la vulnerabilidad de LSASS.
V2.0 15 de junio de 2004: boletín actualizado para informar sobre la disponibilidad de una actualización actualizada de la estación de trabajo de Windows NT 4.0 para el idioma pan chino. Los clientes deben instalar esta actualización incluso si se instaló la actualización original.
V2.1 de agosto de 10 de 2004: Boletín actualizado para modificar la sección de soluciones alternativas para la vulnerabilidad del PCT al usar Windows XP RTM.

Compilado en 2014-04-18T13:49:36Z-07:00

Compartir a través de

Boletín de seguridad de Microsoft MS04-011: Crítico

Actualización de seguridad para Microsoft Windows (835732)

Resumen

Información general

Detalles técnicos

Preguntas más frecuentes (P+F) relacionadas con esta actualización de seguridad

Detalles de vulnerabilidad

Vulnerabilidad de LSASS - CAN-2003-0533:

Mitigación de factores para la vulnerabilidad de LSASS - CAN-2003-0533:

Soluciones alternativas para la vulnerabilidad de LSASS: CAN-2003-0533:

Preguntas más frecuentes sobre la vulnerabilidad de LSASS - CAN-2003-0533:

Vulnerabilidad LDAP: CAN-2003-0663:

Mitigación de factores para la vulnerabilidad LDAP: CAN-2003-0663:

Soluciones alternativas para la vulnerabilidad ldap: CAN-2003-0663:

Preguntas más frecuentes sobre vulnerabilidad de LDAP: CAN-2003-0663:

Vulnerabilidad del PCT - CAN-2003-0719:

Mitigación de factores para la vulnerabilidad del PCT - CAN-2003-0719:

Soluciones alternativas para la vulnerabilidad del PCT - CAN-2003-0719:

Preguntas más frecuentes sobre la vulnerabilidad del PCT - CAN-2003-0719:

Vulnerabilidad de Winlogon: CAN-2003-0806:

Mitigación de factores para la vulnerabilidad de Winlogon: CAN-2003-0806:

Soluciones alternativas para la vulnerabilidad de Winlogon: CAN-2003-0806:

Preguntas más frecuentes sobre la vulnerabilidad de Winlogon - CAN-2003-0806:

Vulnerabilidad del metarchivo - CAN-2003-0906:

Mitigación de factores para la vulnerabilidad del metarchivo - CAN-2003-0906:

Soluciones alternativas para la vulnerabilidad del metarchivo: CAN-2003-0906:

Preguntas más frecuentes sobre vulnerabilidades de metarchivo - CAN-2003-0906:

Vulnerabilidad del Centro de ayuda y soporte técnico : CAN-2003-0907:

Mitigación de factores para la vulnerabilidad del Centro de ayuda y soporte técnico : CAN-2003-0907:

Soluciones alternativas para la vulnerabilidad del Centro de ayuda y soporte técnico: CAN-2003-0907:

Preguntas más frecuentes sobre vulnerabilidades del Centro de ayuda y soporte técnico : CAN-2003-0907:

Vulnerabilidad del Administrador de utilidades - CAN-2003-0908:

Mitigación de factores para la vulnerabilidad del Administrador de utilidades - CAN-2003-0908:

Soluciones alternativas para la vulnerabilidad del Administrador de utilidades: CAN-2003-0908:

Preguntas más frecuentes sobre la vulnerabilidad del Administrador de utilidades - CAN-2003-0908:

Vulnerabilidad de administración de Windows: CAN-2003-0909

Mitigación de factores para la vulnerabilidad de administración de Windows: CAN-2003-0909:

Soluciones alternativas para la vulnerabilidad de administración de Windows: CAN-2003-0909:

Preguntas más frecuentes sobre vulnerabilidades de administración de Windows - CAN-2003-0909:

Vulnerabilidad de la tabla de descriptores locales: CAN-2003-0910

Mitigación de factores para la vulnerabilidad de la tabla de descriptores local: CAN-2003-0910:

Soluciones alternativas para la vulnerabilidad de la tabla de descriptores locales: CAN-2003-0910:

Preguntas más frecuentes sobre la vulnerabilidad de la tabla de descriptores locales : CAN-2003-0910:

Vulnerabilidad H.323: CAN-2004-0117

Mitigación de factores para la vulnerabilidad H.323 - CAN-2004-0117:

Soluciones alternativas para la vulnerabilidad H.323 - CAN-2004-0117:

Preguntas más frecuentes sobre la vulnerabilidad H.323 - CAN-2004-0117:

Vulnerabilidad de la máquina VIRTUAL DOS: CAN-2004-0118:

Mitigación de factores para la vulnerabilidad de la máquina VIRTUAL DOS: CAN-2004-0118:

Soluciones alternativas para la vulnerabilidad de la máquina VIRTUAL DOS: CAN-2004-0118:

Preguntas más frecuentes sobre vulnerabilidades de máquinas DOS virtuales : CAN-2004-0118:

Negociar vulnerabilidad de SSP: CAN-2004-0119

Mitigación de factores para negociar vulnerabilidad de SSP : CAN-2004-0119:

Soluciones alternativas para negociar vulnerabilidades de SSP: CAN-2004-0119:

Preguntas más frecuentes sobre la vulnerabilidad de SSP de Negotiate - CAN-2004-0119:

Vulnerabilidad SSL - CAN-2004-0120:

Mitigación de factores para la vulnerabilidad de SSL: CAN-2004-0120:

Soluciones alternativas para la vulnerabilidad de SSL: CAN-2004-0120:

Preguntas más frecuentes sobre la vulnerabilidad ssl - CAN-2004-0120:

Vulnerabilidad "Doble libre" de ASN.1: CAN-2004-0123

Mitigación de factores para la vulnerabilidad "Doble libre" de ASN.1 : CAN-2004-0123:

Soluciones alternativas para la vulnerabilidad "Double Free" de ASN.1 : CAN-2004-0123:

Preguntas más frecuentes sobre la vulnerabilidad "Double Free" de ASN.1 - CAN-2004-0123:

Información de actualización de seguridad

Windows Server 2003 (todas las versiones)

Windows XP (todas las versiones)

Windows 2000 (todas las versiones)

Windows NT 4.0 (todas las versiones)

Otra información

Recursos adicionales