2023-08-11

Boletín de seguridad

Boletín de seguridad de Microsoft MS07-028: crítico

Vulnerabilidad en CAPICOM podría permitir la ejecución remota de código (931906)

Publicado: 8 de mayo de 2007

Versión: 1.0

Resumen

Quién debe leer este documento: Clientes que usan CAPICOM o BizTalk 2004

Impacto de la vulnerabilidad: Ejecución remota de código

Clasificación de gravedad máxima: Crítico

Recomendación: Los clientes deben aplicar la actualización inmediatamente

Reemplazo de actualizaciones de seguridad: Ninguno

Advertencias: Ninguno

Ubicaciones de descarga de actualizaciones de software y seguridad probadas:

Software afectado:

CAPICOM: descarga de la actualización
Sdk de plataforma redistribuible: CAPICOM: descarga de la actualización
BizTalk Server 2004 Service Pack 1: descargar la actualización
BizTalk Server 2004 Service Pack 2: descargar la actualización

Software no afectado:

BizTalk Server 2000
BizTalk Server 2002
BizTalk Server 2006

El software de esta lista se ha probado para determinar si las versiones se ven afectadas. Otras versiones han pasado su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico del producto y la versión, visite el sitio web del ciclo de vida de Soporte técnico de Microsoft.

Información general

Resumen ejecutivo

Resumen ejecutivo:

Esta actualización resuelve una vulnerabilidad recién detectada y notificada de forma privada. La vulnerabilidad se documenta en su propia subsección en la sección Detalles de vulnerabilidad de este boletín.

Se recomienda que los clientes apliquen la actualización inmediatamente.

Clasificaciones de gravedad e identificadores de vulnerabilidad:

Identificadores de vulnerabilidad	Impacto de la vulnerabilidad	CAPICOM	Microsoft BizTalk Server 2004
CAPICOM. Vulnerabilidad de certificados: CVE-2007-0940	Ejecución remota de código	Crítico	Crítico

Esta evaluación se basa en los tipos de sistemas afectados por la vulnerabilidad, sus patrones de implementación típicos y el efecto que la vulnerabilidad tendría en ellos.

¿Qué actualizaciones reemplaza esta versión?
Esta actualización de seguridad no reemplaza ninguna actualización de seguridad anterior.

¿Puedo usar microsoft Baseline Security Analyzer (MBSA) para determinar si se requiere esta actualización?
En la tabla siguiente se proporciona el resumen de detección de MBSA para esta actualización de seguridad.

Producto	MBSA 1.2.1	EST	MBSA 2.0.1
CAPICOM	No	Sí	Sí
BizTalk Server 2004	No	Sí	Sí

Para obtener más información sobre MBSA, visite el sitio web de MBSA. Para obtener más información sobre el software que Microsoft Update y MBSA 2.0 actualmente no detectan, consulte el artículo 895660 de Microsoft Knowledge Base.

Para obtener información más detallada, consulte el artículo de Microsoft Knowledge Base 910723: Lista de resumen de artículos de guía de implementación y detección mensuales.

¿Qué es enterpriseUpdate Scan Tool (EST)?
Como parte de un compromiso continuo de proporcionar herramientas de detección para actualizaciones de seguridad de clase de boletín, Microsoft ofrece una herramienta de detección independiente siempre que Microsoft Baseline Security Analyzer 1.2.1 y la Herramienta de detección de Office (ODT) no puedan detectar si la actualización es necesaria para un ciclo de versión de MSRC. Esta herramienta independiente se denomina Herramienta de examen de actualización empresarial (EST) y está diseñada para administradores empresariales. Cuando se crea una versión de enterprise Update Scan Tool para un boletín específico, los clientes pueden ejecutar la herramienta desde una interfaz de línea de comandos (CLI) y ver los resultados del archivo de salida XML. Para ayudar a los clientes a usar mejor la herramienta, se proporcionará documentación detallada con la herramienta. También hay una versión de la herramienta que ofrece una experiencia integrada para los administradores de SMS.

¿Puedo usar una versión de enterpriseUpdate Scan Tool (EST) para determinar si se requiere esta actualización?
Sí. Microsoft ha creado una versión de EST que determinará si tiene que aplicar esta actualización. Para obtener vínculos de descarga y más información sobre la versión de EST que se publica este mes, consulte el artículo de Microsoft Knowledge Base 894193. Los clientes de SMS deben revisar las preguntas más frecuentes siguientes: "¿Puedo usar Systems Management Server (SMS) para determinar si esta actualización es necesaria?" para obtener más información sobre SMS y EST.

¿Puedo usar Systems Management Server (SMS) para determinar si se requiere esta actualización?
En la tabla siguiente se proporciona el resumen de detección de SMS para esta actualización de seguridad.

Producto	SMS 2.0	SMS 2003
CAPICOM	Sí (con EST)	Sí
BizTalk Server 2004	Sí (con EST)	Sí

SMS 2.0 y SMS 2003 Software Update Services (SUS) Feature Pack pueden usar MBSA 1.2.1 para la detección y, por tanto, tienen la misma limitación que aparece anteriormente en este boletín relacionado con programas que MBSA 1.2.1 no detecta.

Para SMS 2.0, SMS SUS Feature Pack, que incluye la Herramienta de inventario de actualizaciones de seguridad (SUIT), se puede usar mediante SMS para detectar actualizaciones de seguridad. SMS SUIT usa el motor MBSA 1.2.1 para la detección. Para obtener más información sobre SUIT, visite el siguiente sitio web de Microsoft. Para obtener más información sobre las limitaciones de SUIT, consulte el artículo 306460 de Microsoft Knowledge Base. El Feature Pack de SMS SUS también incluye la Herramienta de inventario de Microsoft Office para detectar las actualizaciones necesarias para las aplicación de Office licaciones de Microsoft.

Para SMS 2003, SMS 2003 Inventory Tool for Microsoft Novedades (ITMU) se puede usar mediante SMS para detectar actualizaciones de seguridad que ofrece Microsoft Update y que son compatibles con Windows Server Update Services. Para obtener más información sobre la ITMU sms 2003, visite el siguiente sitio web de Microsoft. SMS 2003 también puede usar la Herramienta de inventario de Microsoft Office para detectar las actualizaciones necesarias de Microsoft aplicación de Office lications.

Para obtener más información sobre SMS, visite el sitio web de SMS.

Para obtener información más detallada, consulte el artículo de Microsoft Knowledge Base 910723: Lista de resumen de artículos de guía de implementación y detección mensuales.

¿Puedo usar SMS para determinar si hay otros programas instalados que deben actualizarse?
Sí. SMS puede ayudar a detectar si hay otros programas instalados que pueden haber instalado una versión del componente vulnerable. SMS puede buscar la existencia del archivo CAPICOM.dll. Actualice todas las versiones de CAPICOM.dll anteriores a la versión 2.1.0.2.

Detalles de vulnerabilidad

CAPICOM. Vulnerabilidad de certificados : CVE-2007-0940:

Existe una vulnerabilidad de ejecución remota de código en el modelo de objetos de componentes de API criptográficas (CAPICOM) que podría permitir que un atacante que aprovechara correctamente esta vulnerabilidad para tomar el control completo del sistema afectado.

Mitigación de factores para CAPICOM. Vulnerabilidad de certificados : CVE-2007-0940:

En un escenario de ataque basado en web, un atacante tendría que hospedar un sitio web que contiene una página web que se usa para aprovechar esta vulnerabilidad. Un atacante no tendría forma de forzar a los usuarios a visitar un sitio web especialmente diseñado. En su lugar, un atacante tendría que convencerlos para visitar el sitio web, normalmente obteniendo que hagan clic en un vínculo que los lleve al sitio web del atacante. Después de hacer clic en el vínculo, se les pedirá que realicen varias acciones. Un ataque solo puede producirse después de realizar estas acciones.
Un atacante que aprovechara correctamente esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos.
De forma predeterminada, todas las versiones compatibles de Microsoft Outlook y Microsoft Outlook Express abren mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona de sitios restringidos ayuda a reducir el número de ataques correctos que aprovechan esta vulnerabilidad al impedir que se usen controles Active Scripting y ActiveX al leer el correo electrónico HTML. Sin embargo, si un usuario hace clic en un vínculo dentro de un correo electrónico, podría seguir siendo vulnerable a este problema a través del escenario de ataque basado en web.
De forma predeterminada, Internet Explorer en Windows Server 2003 se ejecuta en un modo restringido que se conoce como Configuración de seguridad mejorada. Este modo establece el nivel de seguridad de la zona de Internet en Alto. Se trata de un factor de mitigación para los sitios web que no se han agregado a la zona sitios de confianza de Internet Explorer. Consulte la subsección de preguntas más frecuentes de esta sección de vulnerabilidades para obtener más información sobre la configuración de seguridad mejorada de Internet Explorer.
De forma predeterminada, este control ActiveX no se incluye en la lista de permitidos predeterminada para los controles ActiveX en Internet Explorer 7. Solo los clientes que hayan aprobado explícitamente este control mediante la característica de participación de ActiveX corren el riesgo de intentar aprovechar esta vulnerabilidad. Sin embargo, si un cliente ha usado este control ActiveX en una versión anterior de Internet Explorer, este control ActiveX está habilitado para funcionar en Internet Explorer 7, incluso si el cliente no lo ha aprobado explícitamente mediante la característica de participación de ActiveX.

Soluciones alternativas para CAPICOM. Vulnerabilidad de certificados : CVE-2007-0940:

Microsoft ha probado las siguientes soluciones alternativas. Aunque estas soluciones alternativas no corregirán la vulnerabilidad subyacente, ayudan a bloquear vectores de ataque conocidos. Cuando una solución alternativa reduce la funcionalidad, se identifica en la sección siguiente.

Deshabilitar intentos de crear instancias del control CAPICOM en Internet Explorer
Puede deshabilitar los intentos de crear instancias de este control ActiveX estableciendo el bit de eliminación para el control en el Registro.

Advertencia Si usa el Editor del Registro incorrectamente, puede causar problemas graves que pueden requerir que vuelva a instalar el sistema operativo. Microsoft no garantiza que se puedan resolver los problemas derivados de un uso incorrecto del Editor del Registro. Use el Editor del Registro bajo su propia responsabilidad.

Para obtener pasos detallados que puede usar para evitar que un control se ejecute en Internet Explorer, consulte el artículo de Microsoft Knowledge Base 240797. Siga estos pasos de este artículo para crear un valor de Marcas de compatibilidad en el Registro para evitar que se cree una instancia de un objeto COM en Internet Explorer.

Para establecer el bit de eliminación para los CLSID con el valor de:
- {17E3A1C3-EA8A-4970-AF29-7F54610B1D4C}
- {FBAB033B-CDD0-4C5E-81AB-AEA575CD1338}
Pegue el texto siguiente en un editor de texto, como Bloc de notas. A continuación, guarde el archivo mediante la extensión .reg nombre de archivo.

Editor del Registro de Windows versión 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{17E3A1C3-EA8A-4970-AF29-7F54610B1D4C}]

"Marcas de compatibilidad"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FBAB033B-CDD0-4C5E-81AB-AEA575CD1338}]

"Marcas de compatibilidad"=dword:00000400

Puede aplicar este archivo .reg a sistemas individuales haciendo doble clic en él. También puede aplicarlo entre dominios mediante la directiva de grupo. Para obtener más información sobre la directiva de grupo, visite los siguientes sitios web de Microsoft:

Colección de directivas de grupo

¿Qué es el Editor de objetos de directiva de grupo?

Configuración y herramientas de directiva de grupo principales

Nota: Debe reiniciar Internet Explorer para que los cambios surtan efecto.

Impacto de la solución alternativa: el control CAPICOM ya no puede mostrarse o funcionar correctamente.

Configurar Internet Explorer para preguntar antes de ejecutar controles ActiveX o deshabilitar controles ActiveX en la zona de seguridad de Internet y intranet local
Puede ayudar a protegerse contra esta vulnerabilidad cambiando la configuración de Internet Explorer para preguntar antes de ejecutar controles ActiveX. Para ello, siga estos pasos:
1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas .
2. Haga clic en la pestaña Security (Seguridad).
3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
4. En Configuración, en la sección Controles y complementos ActiveX, en Ejecutar controles ActiveX y complementos, haga clic en Preguntar o Deshabilitary, a continuación, haga clic en Aceptar.
5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
6. En Configuración, en la sección Controles y complementos ActiveX, en Ejecutar controles ActiveX y complementos, haga clic en Preguntar o Deshabilitary, a continuación, haga clic en Aceptar.
7. Haga clic en Aceptar dos veces para volver a Internet Explorer.

Impacto de la solución alternativa: hay efectos secundarios para preguntar antes de ejecutar controles ActiveX. Muchos sitios web que están en Internet o en una intranet usan ActiveX para proporcionar funcionalidad adicional. Por ejemplo, un sitio de comercio electrónico en línea o un sitio bancario pueden usar controles ActiveX para proporcionar menús, formularios de pedidos o incluso estados de cuenta. Preguntar antes de ejecutar controles ActiveX es una configuración global que afecta a todos los sitios de Internet e intranet. Se le pedirá con frecuencia al habilitar esta solución alternativa. Para cada mensaje, si cree que confía en el sitio que está visitando, haga clic en Sí para ejecutar controles ActiveX. Si no desea que se le pidan todos estos sitios, siga los pasos descritos en "Agregar sitios que confía en la zona sitios de confianza de Internet Explorer".

Agregar sitios de confianza a la zona Sitios de confianza de Internet Explorer

Después de establecer Internet Explorer para requerir un mensaje antes de ejecutar controles ActiveX y Scripting activo en la zona internet y en la zona intranet local, puede agregar sitios que confíe en la zona de sitios de confianza de Internet Explorer. Esto le permitirá seguir usando sitios web de confianza exactamente como lo hace hoy, a la vez que le ayudará a proteger contra este ataque en sitios que no son de confianza. Se recomienda agregar solo sitios que confíe en la zona Sitios de confianza.

Para ello, siga estos pasos: 1. En Internet Explorer, haga clic en Herramientas, haga clic en Opciones de Internety, a continuación, haga clic en la pestaña Seguridad. 2. En el cuadro Seleccionar una zona de contenido web para especificar su configuración de seguridad actual, haga clic en Sitios de confianza y, a continuación, haga clic en Sitios. 3. Si desea agregar sitios que no requieren un canal cifrado, haga clic para desactivar la casilla Requerir verificación del servidor (https:) para todos los sitios de esta zona . 4. En el cuadro Agregar este sitio web al cuadro de zona , escriba la dirección URL de un sitio de confianza y, a continuación, haga clic en Agregar. 5. Repita estos pasos para cada sitio que desee agregar a la zona. 6. Haga clic en Aceptar dos veces para aceptar los cambios y volver a Internet Explorer.

Nota Agregue los sitios que confíe en no realizar acciones malintencionadas en el equipo. Dos en concreto que puede que desee agregar son "*.windowsupdate.microsoft.com" y "*.update.microsoft.com" (sin las comillas). Estos son los sitios que hospedarán la actualización y requiere un control ActiveX para instalar la actualización.

Establezca la configuración de la zona de seguridad de Internet y la intranet local en "Alto" para preguntar antes de ejecutar controles ActiveX y Scripting activo en estas zonas.
Puede ayudar a protegerse frente a esta vulnerabilidad cambiando la configuración de la zona de seguridad de Internet para preguntar antes de ejecutar controles ActiveX. Para ello, establezca la seguridad del explorador en Alta.

Para aumentar el nivel de seguridad de exploración en Microsoft Internet Explorer, siga estos pasos:
1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
2. En el cuadro de diálogo Opciones de Internet, haga clic en la pestaña Seguridad y, a continuación, haga clic en el icono de Internet .
3. En Nivel de seguridad para esta zona, mueva el control deslizante a Alto. Esto establece el nivel de seguridad de todos los sitios web que visita a High.
Nota Si no hay ningún control deslizante visible, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante a Alto.

Nota Establecer el nivel en Alto puede hacer que algunos sitios web funcionen incorrectamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregar ese sitio a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente incluso con la configuración de seguridad establecida en Alta.

Agregar sitios de confianza a la zona Sitios de confianza de Internet Explorer

Preguntas más frecuentes sobre CAPICOM. Vulnerabilidad de certificados : CVE-2007-0940:

¿Cuál es el ámbito de la vulnerabilidad?
Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado de forma remota. El atacante, a continuación, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con derechos de usuario completos. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos.

¿Qué causa la vulnerabilidad?
La forma en que la clase CAPICOM Certificates controla determinadas entradas provoca la vulnerabilidad. El control ActiveX podría, si se pasaron datos inesperados, producir un error de tal manera que pudiera permitir la ejecución remota de código.

Qué es CAPICOM. ¿Certificados?
CAPICOM. Los certificados son un control ActiveX que proporciona scripters (VBS, ASP, ASP.NET etc.) con un método para cifrar los datos basados en la funcionalidad de CryptoAPI subyacente segura de Windows. El CONJUNTO CAPICOM también está disponible para su descarga como Platform SDK Redistributable: CAPICOM y también forma parte de la SDK de Plataforma para Windows y el Kit de controladores de Windows.

¿Qué ocurre si desarrolle aplicaciones o software y redistribuya CAPICOM?
Debe descargar la versión más reciente del SDK de plataforma Redistributable: CAPICOM. Esta nueva versión contiene el CAPICOM.dll actualizado asociado a esta actualización de seguridad.

Cómo saber si tengo CAPICOM. ¿Certificados instalados y registrados?
Puede comprobar si tiene CAPICOM instalado si busca CAPICOM.dll en el sistema. Si tiene la versión 2.1.01 o inferior, debe actualizar el sistema.

Puede comprobar si tiene alguna combinación de las siguientes claves del Registro para comprobar si tiene una versión vulnerable del CAPICOM. Control ActiveX de certificados registrado en el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM. Certificates.1\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM. Certificates.2\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM. Certificates.3\CLSID

¿Qué podría hacer un atacante para usar la vulnerabilidad?
Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo del sistema afectado. El atacante, a continuación, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con derechos de usuario completos. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos.

¿Por qué la versión anterior de CAPICOM.dll todavía está en el sistema después de instalar esta actualización de seguridad?
Es posible que los usuarios hayan instalado CAPICOM.dll desde un origen distinto de Microsoft. CAPICOM.dll puede haber sido instalado por un producto que no es de Microsoft. Dado que la actualización de seguridad no puede determinar dónde se originó la versión de CAPICOM.dll anterior, se deja en el sistema para la compatibilidad de aplicaciones. La versión anterior no deja al sistema vulnerable a esta vulnerabilidad.

Quién podría aprovechar la vulnerabilidad?
En un escenario de ataque basado en web, un atacante tendría que hospedar un sitio web que contiene una página web usada en el intento de aprovechar esta vulnerabilidad. Un atacante no tendría forma de forzar a los usuarios a visitar un sitio web especialmente diseñado. En su lugar, un atacante tendría que convencerlos para visitar el sitio web, normalmente obteniendo que hagan clic en un vínculo que los lleve al sitio del atacante.

¿Qué sistemas están principalmente en riesgo de la vulnerabilidad?
Esta vulnerabilidad requiere que un usuario inicie sesión y visite un sitio web para que se produzca cualquier acción malintencionada. Por lo tanto, los sistemas que tengan certificados CAPICOM instalados y registrados donde internet Explorer se usa con frecuencia, como estaciones de trabajo o servidores terminales, corren el mayor riesgo de esta vulnerabilidad.

Estoy ejecutando Internet Explorer 7. ¿Esto mitiga esta vulnerabilidad?
Sí. Los clientes que ejecutan Internet Explorer 7 con la configuración predeterminada no están en riesgo hasta que el control certificados CAPICOM se haya activado a través de la característica de participación de ActiveX en la zona de Internet. Sin embargo, si un cliente ha usado este control ActiveX en una versión anterior de Internet Explorer, este control ActiveX está habilitado para funcionar en Internet Explorer 7, incluso si el cliente no lo ha aprobado explícitamente mediante la característica de participación de ActiveX.

¿Cuál es la característica de participación de ActiveX en Internet Explorer 7?
Internet Explorer 7 incluye una característica de participación de ActiveX, lo que significa que casi todos los controles ActiveX preinstalados están desactivados de forma predeterminada. La barra de información solicita a los usuarios acceso a un control ActiveX instalado previamente que aún no se ha usado en Internet. Esto permite que un usuario permita o deniegue el acceso por control. Para obtener más información sobre esta y otras características nuevas, consulte la página características de Windows Internet Explorer 7.

Estoy ejecutando Internet Explorer en Windows Server 2003. ¿Esto mitiga esta vulnerabilidad?
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003 se ejecuta en un modo restringido que se conoce como Configuración de seguridad mejorada. Este modo establece el nivel de seguridad de la zona de Internet en Alto. Se trata de un factor de mitigación para los sitios web que no se han agregado a la zona sitios de confianza de Internet Explorer. Consulte la sección de preguntas más frecuentes de esta actualización de seguridad para obtener más información sobre la configuración de seguridad mejorada de Internet Explorer.

¿Qué es la configuración de seguridad mejorada de Internet Explorer?
Configuración de seguridad mejorada de Internet Explorer es un grupo de configuraciones preconfiguradas de Internet Explorer que reducen la probabilidad de que un usuario o administrador descargue y ejecute contenido web malintencionado en un servidor. La configuración de seguridad mejorada de Internet Explorer reduce esta amenaza modificando numerosas opciones relacionadas con la seguridad, incluida la configuración de pestaña Seguridad y avanzadas en Opciones de Internet. Algunas de las modificaciones clave incluyen:

El nivel de seguridad de la zona de Internet se establece en Alto. Esta configuración deshabilita los scripts, los componentes ActiveX, el contenido HTML de la máquina virtual de Microsoft (VM de Microsoft) y las descargas de archivos.
La detección automática de sitios de intranet está deshabilitada. Esta configuración asigna todos los sitios web de intranet y todas las rutas de acceso de convención de nomenclatura universal (UNC) que no aparecen explícitamente en la zona intranet local a la zona de Internet.
La instalación a petición y las extensiones de explorador que no son de Microsoft están deshabilitadas. Esta configuración impide que las páginas web instalen automáticamente componentes e impide que las extensiones que no son de Microsoft se ejecuten.
El contenido multimedia está deshabilitado. Esta configuración impide que se ejecuten música, animaciones y clips de vídeo.

Para obtener más información sobre la configuración de seguridad mejorada de Internet Explorer, consulte la guía Administración de la configuración de seguridad mejorada de Internet Explorer, que se puede encontrar en el siguiente sitio web.

¿Qué hace la actualización?
La actualización quita la vulnerabilidad modificando la forma en que capicom. El control ActiveX de certificados realiza la validación de parámetros. También soluciona problemas adicionales detectados a través de investigaciones internas.

Cuando se emitió este boletín de seguridad, ¿se había divulgado públicamente esta vulnerabilidad?
No. Microsoft recibió información sobre esta vulnerabilidad a través de la divulgación responsable.

Cuando se emitió este boletín de seguridad, ¿Microsoft recibió informes de que esta vulnerabilidad se estaba explotando?
No. Microsoft no había recibido ninguna información para indicar que esta vulnerabilidad se había usado públicamente para atacar a los clientes y no había visto ningún ejemplo de código de prueba de concepto publicado cuando se emitió originalmente este boletín de seguridad.

Información de actualización de seguridad

Software afectado:

Para obtener información sobre la actualización de seguridad específica del software afectado, consulte la sección correspondiente:

CAPICOM y BizTalk Server 2004

Requisitos previos
Esta actualización de seguridad requiere que los certificados CAPICOM están instalados y registrados. BizTalk Server 2004 instala certificados CAPICOM. Esta actualización funcionará tanto para instalaciones independientes como para BizTalk Server 2004. Los productos que no son de Microsoft pueden redistribuir e instalar CAPICOM.dll. Consulte las preguntas más frecuentes "Cómo saber si tengo Capicom.Certificates instalados y registrados?" para obtener más información.

Inclusión en Futuros Service Packs
La actualización de este problema puede incluirse en un Paquete de servicio futuro o un paquete acumulativo de actualizaciones para Microsoft BizTalk Server 2004.

Información de instalación

Esta actualización de seguridad admite los siguientes modificadores de configuración.

Switch	Descripción
Modos de configuración
/q	Especifica el modo silencioso o suprime las solicitudes cuando se extraen los archivos.
/q:u	Especifica el modo silencioso de usuario, que presenta algunos cuadros de diálogo al usuario.
/q:a	Especifica el modo silencioso de administrador, que no presenta ningún cuadro de diálogo al usuario.
Opciones especiales
/t:<full path>	Especifica la carpeta de destino para extraer archivos.
/c	Extrae los archivos sin instalarlos. Si no se especifica /T: ruta de acceso, se le pedirá al usuario una carpeta de destino.
/c:<Cmd>	Invalide el comando de instalación definido por el autor. Especifica la ruta de acceso y el nombre del archivo setup .inf o .exe.

Nota Estos modificadores no funcionan necesariamente con todas las actualizaciones. Si un modificador no está disponible, esa funcionalidad es necesaria para la instalación correcta de la actualización. Si la instalación no se realiza correctamente, debe consultar a su profesional de soporte técnico para comprender por qué no se pudo instalar.

Para obtener más información sobre los modificadores de configuración admitidos, consulte el artículo 197147 de Microsoft Knowledge Base.

Información de implementación

Para instalar la actualización de seguridad sin intervención del usuario, use el siguiente comando en un símbolo del sistema:

CAPICOM-KB931906-v2102 /q:a

Para obtener información sobre cómo implementar esta actualización de seguridad mediante Software Update Services, visite el sitio web de Software Update Services. Para obtener información sobre cómo implementar esta actualización de seguridad mediante Windows Server Update Services, visite el sitio web de Windows Server Update Services. Esta actualización de seguridad también estará disponible a través del sitio web de Microsoft Update.

Requisito de reinicio

Esta actualización no requiere un reinicio.

Información de eliminación

Para quitar esta actualización de seguridad, use la herramienta Agregar o quitar programas en Panel de control.

Información del archivo

La versión en inglés de esta actualización de seguridad tiene los atributos de archivo que se enumeran en la tabla siguiente. Las fechas y horas de estos archivos se enumeran en la hora universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre hora UTC y hora local, use la pestaña Zona horaria de la herramienta Fecha y hora en Panel de control.

Nombre de archivo	Versión	Fecha	Hora	Size
License.mht	N/D	26 de febrero de 2007	23:16	142,534
License.rtf	N/D	26 de febrero de 2007	23:16	134,577
Capicom.dll	2.1.0.2	11-Abr-2007	18:11	511,328

Comprobación de que se ha aplicado la actualización

Comprobación de la versión del archivo

Nota Dado que hay varias versiones de Microsoft Windows, los pasos siguientes pueden ser diferentes en el equipo. Si lo son, consulte la documentación del producto para completar estos pasos.
1. Haga clic en Inicioy, a continuación, haga clic en Buscar.
2. En el panel Resultados de la búsqueda, haga clic en Todos los archivos y carpetas en Search Companion.
3. En el cuadro Todo o parte del nombre de archivo, escriba un nombre de archivo de la tabla de información de archivo adecuada y, a continuación, haga clic en Buscar.
4. En la lista de archivos, haga clic con el botón derecho en un nombre de archivo de la tabla de información de archivo adecuada y, a continuación, haga clic en Propiedades.
  
  Nota Dependiendo de la versión del sistema operativo o los programas instalados, es posible que algunos de los archivos que aparecen en la tabla de información de archivos no estén instalados.
5. En la pestaña Versión , determine la versión del archivo instalado en el equipo comparándolo con la versión que se documenta en la tabla de información de archivo adecuada.
  
  Nota Los atributos distintos de la versión del archivo pueden cambiar durante la instalación. Comparar otros atributos de archivo con la información de la tabla de información de archivo no es un método compatible para comprobar que se ha aplicado la actualización. Además, en determinados casos, es posible que se cambie el nombre de los archivos durante la instalación. Si la información de archivo o versión no está presente, use uno de los otros métodos disponibles para comprobar la instalación de actualizaciones.
Comprobación de clave del Registro
También puede comprobar los archivos que ha instalado esta actualización de seguridad revisando la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM. Certificates.4\CLSID

Otra información

Confirmaciones

Microsoft agradece lo siguiente por trabajar con nosotros para ayudar a proteger a los clientes:

Chris Ries of VigilantMinds Inc. para informar sobre el CAPICOM. Vulnerabilidad de certificados (CVE-2007-0940)

Obtener otros Novedades de seguridad:

Novedades para otros problemas de seguridad están disponibles en las siguientes ubicaciones:

Las actualizaciones de seguridad están disponibles en el Centro de descarga de Microsoft. Puede encontrarlos con mayor facilidad si realiza una búsqueda de palabra clave para "security_patch".
Novedades para plataformas de consumidor están disponibles en Sitio web de Microsoft Update.

Soporte técnico:

Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico de los Servicios de soporte técnico de Microsoft en 1-866-PCSAFETY. No hay ningún cargo por las llamadas de soporte técnico asociadas a las actualizaciones de seguridad.
Los clientes internacionales pueden recibir soporte técnico de sus subsidiarias locales de Microsoft. No hay ningún cargo por el soporte técnico asociado a las actualizaciones de seguridad. Para obtener más información sobre cómo ponerse en contacto con Microsoft para problemas de soporte técnico, visite el sitio web de soporte técnico internacional.

Recursos de seguridad:

El sitio web de Microsoft TechNet Security proporciona información adicional sobre la seguridad en los productos de Microsoft.
Centro de administración de actualizaciones de TechNet
Microsoft Software Update Services
Microsoft Windows Server Update Services
Analizador de seguridad de línea base de Microsoft (MBSA)
Windows Update
Microsoft Update
Catálogo de Windows Update: para obtener más información sobre el catálogo de Windows Update, consulte el artículo de Microsoft Knowledge Base 323166.
Office Update

Servicios de actualización de software:

Mediante el uso de Microsoft Software Update Services (SUS), los administradores pueden implementar de forma rápida y confiable las últimas actualizaciones críticas y actualizaciones de seguridad en servidores basados en Windows 2000 y Windows Server 2003 y en sistemas de escritorio que ejecutan Windows 2000 Professional o Windows XP Professional.

Para obtener más información sobre cómo implementar actualizaciones de seguridad mediante Software Update Services, visite el sitio web de Software Update Services.

Windows Server Update Services:

Mediante el uso de Windows Server Update Services (WSUS), los administradores pueden implementar de forma rápida y confiable las últimas actualizaciones críticas y actualizaciones de seguridad para los sistemas operativos Windows 2000 y versiones posteriores, Office XP y versiones posteriores, Exchange Server 2003 y SQL Server 2000 en Windows 2000 y versiones posteriores.

Para obtener más información sobre cómo implementar actualizaciones de seguridad con Windows Server Update Services, visite el sitio web de Windows Server Update Services.

Servidor de administración de sistemas:

Microsoft Systems Management Server (SMS) ofrece una solución empresarial altamente configurable para administrar las actualizaciones. Mediante SMS, los administradores pueden identificar sistemas basados en Windows que requieren actualizaciones de seguridad y pueden realizar una implementación controlada de estas actualizaciones en toda la empresa con una interrupción mínima a los usuarios finales. Para obtener más información sobre cómo los administradores pueden usar SMS 2003 para implementar actualizaciones de seguridad, visite el sitio web de administración de revisiones de seguridad de SMS 2003. Los usuarios de SMS 2.0 también pueden usar Software Novedades Service Feature Pack para ayudar a implementar actualizaciones de seguridad. Para obtener información sobre SMS, visite el sitio web de SMS.

Nota SMS usa microsoft Baseline Security Analyzer, microsoft Office Detection Tool y Enterprise Update Scan Tool para proporcionar una amplia compatibilidad con la detección e implementación de boletines de seguridad. Es posible que estas herramientas no detecten algunas actualizaciones de software. Administración istrators pueden usar las funcionalidades de inventario del SMS en estos casos para dirigir las actualizaciones a sistemas específicos. Para obtener más información sobre este procedimiento, visite el siguiente sitio web. Algunas actualizaciones de seguridad requieren derechos administrativos después de reiniciar el sistema. Administración istrators pueden usar la Herramienta de implementación de derechos elevados (disponible en sms 2003 Administración istration Feature Pack y en sms 2.0 Administración istration Feature Pack) para instalar estas actualizaciones.

Renuncia:

La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.

Revisiones:

V1.0 (8 de mayo de 2007): Boletín publicado.

Compilado en 2014-04-18T13:49:36Z-07:00

Compartir a través de