Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La vulnerabilidad en Silverlight podría permitir la omisión de características de seguridad (2932677)
Publicado: 11 de marzo de 2014
Versión: 1.0
Información general
Resumen ejecutivo
Esta actualización de seguridad resuelve una vulnerabilidad notificada de forma privada en Microsoft Silverlight. La vulnerabilidad podría permitir la omisión de características de seguridad si un atacante hospeda un sitio web que contiene contenido de Silverlight especialmente diseñado para aprovechar la vulnerabilidad y, a continuación, convence a un usuario para ver el sitio web. Sin embargo, en todos los casos, un atacante no tendría forma de forzar a los usuarios a visitar un sitio web. En su lugar, un atacante tendría que convencer a los usuarios de visitar un sitio web, normalmente obteniendo que hagan clic en un vínculo en un mensaje de correo electrónico o en un mensaje de Instant Messenger que los lleve al sitio web del atacante. También podría ser posible mostrar contenido web especialmente diseñado mediante anuncios de banner o mediante otros métodos para entregar contenido web a los sistemas afectados.
Esta actualización de seguridad se clasifica como Importante para Microsoft Silverlight 5 y Microsoft Silverlight 5 Developer Runtime cuando se instala en Mac y todas las versiones compatibles de Microsoft Windows. Para obtener más información, consulte la subsección , Affected and Non-Affected Software (Software afectado y no afectado), en esta sección.
La actualización de seguridad actualiza las versiones anteriores de Silverlight a la versión 5.1.30214.0 de Silverlight, que es la primera versión de Silverlight 5 que no se ve afectada por la vulnerabilidad. La actualización aborda la vulnerabilidad modificando la funcionalidad para mantener la integridad del DEP (prevención de ejecución de datos) y la selección aleatoria del diseño del espacio de direcciones (ASLR) en Silverlight. Para obtener más información sobre la vulnerabilidad, consulte la subsección Preguntas más frecuentes (P+F) en la sección siguiente, Información sobre vulnerabilidades.
Recomendación. La mayoría de los clientes tienen habilitada la actualización automática y no tendrán que realizar ninguna acción porque esta actualización de seguridad se descargará e instalará automáticamente. Los clientes que no han habilitado la actualización automática deben comprobar si hay actualizaciones e instalar esta actualización manualmente. Para obtener información sobre las opciones de configuración específicas en la actualización automática, consulte el artículo de Microsoft Knowledge Base 294871.
En el caso de los administradores y las instalaciones empresariales, o los usuarios finales que quieran instalar esta actualización de seguridad manualmente, Microsoft recomienda que los clientes apliquen la actualización lo antes posible mediante el software de administración de actualizaciones o comprobando si hay actualizaciones mediante el servicio Microsoft Update .
Consulte también la sección Herramientas de detección e implementación e instrucciones, más adelante en este boletín.
Artículo de Knowledge Base
- Artículo de Knowledge Base: 2932677
- Información del archivo: Sí
- Hashes SHA1/SHA2: Sí
- Problemas conocidos: Ninguno
Software afectado y no afectado
Se ha probado el siguiente software para determinar qué versiones o ediciones se ven afectadas. Otras versiones o ediciones han pasado su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.
Software afectado
| Sistema operativo | Impacto máximo en la seguridad | Clasificación de gravedad agregada | Novedades reemplazado |
|---|---|---|---|
| Microsoft Silverlight 5 | |||
| Microsoft Silverlight 5 cuando se instala en Mac (2932677) | Omisión de características de seguridad | Importante | 2890788 en MS13-087 |
| Microsoft Silverlight 5 Developer Runtime cuando se instala en Mac (2932677) | Omisión de características de seguridad | Importante | 2890788 en MS13-087 |
| Microsoft Silverlight 5 cuando se instala en todas las versiones compatibles de los clientes de Microsoft Windows (2932677) | Omisión de características de seguridad | Importante | 2890788 en MS13-087 |
| Microsoft Silverlight 5 Developer Runtime cuando se instala en todas las versiones compatibles de los clientes de Microsoft Windows (2932677) | Omisión de características de seguridad | Importante | 2890788 en MS13-087 |
| Microsoft Silverlight 5 cuando se instala en todas las versiones compatibles de los servidores de Microsoft Windows (2932677) | Omisión de características de seguridad | Importante | 2890788 en MS13-087 |
| Microsoft Silverlight 5 Developer Runtime cuando se instala en todas las versiones compatibles de los servidores de Microsoft Windows (2932677) | Omisión de características de seguridad | Importante | 2890788 en MS13-087 |
Preguntas más frecuentes sobre la actualización
¿Qué exploradores web admiten aplicaciones de Microsoft Silverlight?
Para ejecutar aplicaciones de Microsoft Silverlight, la mayoría de los exploradores web, incluido Microsoft Internet Explorer, requieren que Microsoft Silverlight esté instalado y el complemento correspondiente para habilitarse. Para obtener más información sobre Microsoft Silverlight, consulte el sitio oficial de Microsoft Silverlight. Consulte la documentación del explorador para obtener más información sobre cómo deshabilitar o quitar complementos.
¿Qué versiones de Microsoft Silverlight 5 se ven afectadas por la vulnerabilidad?
Microsoft Silverlight build 5.1.30214.0, que era la compilación actual de Microsoft Silverlight a partir de la primera vez que se publicó este boletín, soluciona la vulnerabilidad y no se ve afectada. Las compilaciones de Microsoft Silverlight anteriores a 5.1.30214.0 se ven afectadas.
Cómo saber qué versión y compilación de Microsoft Silverlight está instalada actualmente en mi sistema?
Si Microsoft Silverlight ya está instalado en el equipo, puede visitar la página Obtener Microsoft Silverlight , que indicará qué versión y compilación de Microsoft Silverlight está instalada actualmente en el sistema. Como alternativa, puede usar la característica Administrar complementos de las versiones actuales de Microsoft Internet Explorer para determinar la versión y la información de compilación que está instalada actualmente en el sistema.
También puede comprobar manualmente el número de versión de sllauncher.exe ubicado en el directorio "%ProgramFiles%\Microsoft Silverlight" (en sistemas de Microsoft Windows x86) o en el directorio "%ProgramFiles(x86)%\Microsoft Silverlight" (en sistemas de Microsoft Windows x64).
Además, en Microsoft Windows, la versión y la información de compilación de la versión instalada actualmente de Microsoft Silverlight se pueden encontrar en el Registro en [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:Versión en sistemas de Microsoft Windows x86 o [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:Versión en sistemas x64 Microsoft Windows.
En Apple Mac OS, la versión y la información de compilación de la versión instalada actualmente de Microsoft Silverlight se pueden encontrar de la siguiente manera:
- Abrir el Finder
- Seleccione la unidad del sistema y vaya a la carpeta Complementos de Internet - Biblioteca.
- Haga clic con el botón derecho en el archivo Silverlight.Plugin (si el mouse solo tiene un botón, presione la tecla Ctrl mientras hace clic en el archivo) para abrir el menú contextual y, a continuación, haga clic en Mostrar contenido del paquete.
- Dentro de la carpeta de contenido, busque el archivo info.plist y ábralo con un editor. Contendrá una entrada como esta, que muestra el número de versión: SilverlightVersion 5.1.30214.0
La versión instalada con esta actualización de seguridad para Microsoft Silverlight 5 es 5.1.30214.0. Si el número de versión de Microsoft Silverlight 5 es mayor o igual que este número de versión, el sistema no es vulnerable.
Cómo actualizar mi versión de Microsoft Silverlight?
La característica de actualización automática de Microsoft Silverlight ayuda a asegurarse de que la instalación de Microsoft Silverlight se mantiene actualizada con la versión más reciente de Microsoft Silverlight, la funcionalidad de Microsoft Silverlight y las características de seguridad. Para obtener más información sobre la característica de actualización automática de Microsoft Silverlight, consulte Microsoft Silverlight Updater. Los usuarios de Windows que han deshabilitado la característica de actualización automática de Microsoft Silverlight pueden inscribirse en Microsoft Update para obtener la versión más reciente de Microsoft Silverlight o descargar la versión más reciente de Microsoft Silverlight manualmente mediante el vínculo de descarga de la tabla Software afectado en la sección anterior, Software afectado y no afectado. Para obtener información sobre cómo implementar Microsoft Silverlight en un entorno empresarial, consulte la Guía de implementación empresarial de Silverlight.
¿Esta actualización actualizará mi versión de Silverlight?
La actualización de 2932677 actualiza versiones anteriores de Silverlight a Silverlight versión 5.1.30214.0. Microsoft recomienda actualizar para protegerse frente a la vulnerabilidad descrita en este boletín.
¿Dónde puedo encontrar información adicional sobre el ciclo de vida del producto de Silverlight?
Para obtener información sobre el ciclo de vida específico de Silverlight, consulte la directiva de ciclo de vida de soporte técnico de Microsoft Silverlight.
Estoy usando una versión anterior del software que se describe en este boletín de seguridad. ¿Cuál debo hacer?
El software afectado enumerado en este boletín se ha probado para determinar qué versiones se ven afectadas. Otras versiones han pasado su ciclo de vida de soporte técnico. Para obtener más información sobre el ciclo de vida del producto, consulte el sitio web del ciclo de vida de Soporte técnico de Microsoft.
Debe ser una prioridad para los clientes que tienen versiones anteriores del software para migrar a versiones admitidas para evitar la posible exposición a vulnerabilidades. Para determinar el ciclo de vida de soporte técnico de la versión de software, consulte Seleccionar un producto para la información del ciclo de vida. Para obtener más información sobre los Service Pack para estas versiones de software, consulte Directiva de soporte técnico del ciclo de vida de Service Pack.
Los clientes que requieran soporte técnico personalizado para software anterior deben ponerse en contacto con su representante del equipo de cuentas de Microsoft, su Administrador de cuentas técnicas o el representante de asociado de Microsoft adecuado para las opciones de soporte técnico personalizadas. Los clientes sin alianza, premier o contrato autorizado pueden ponerse en contacto con su oficina de ventas local de Microsoft. Para obtener información de contacto, vea el sitio web información mundial de Microsoft, seleccione el país en la lista Información de contacto y, a continuación, haga clic en Ir para ver una lista de números de teléfono. Cuando llame, pida que hable con el administrador de ventas local de Soporte técnico Premier. Para obtener más información, consulte las preguntas más frecuentes sobre la directiva de ciclo de vida de Soporte técnico de Microsoft.
Clasificaciones de gravedad e identificadores de vulnerabilidad
Las siguientes clasificaciones de gravedad asumen el posible impacto máximo de la vulnerabilidad. Para obtener información sobre la probabilidad, en un plazo de 30 días a partir de la publicación de este boletín de seguridad, de la vulnerabilidad en relación con su clasificación de gravedad y su impacto en la seguridad, consulte el Índice de vulnerabilidades en el resumen del boletín de marzo. Para obtener más información, consulte Índice de vulnerabilidades de seguridad de Microsoft.
| Clasificación de gravedad de vulnerabilidad y impacto máximo en la seguridad por parte del software afectado | ||
|---|---|---|
| Software afectado | Vulnerabilidad de omisión de DEP/ASLR de Silverlight: CVE-2014-0319 | Clasificación de gravedad agregada |
| Microsoft Silverlight 5 | ||
| Microsoft Silverlight 5 cuando se instala en Mac | Omisión importante de características de seguridad | Importante |
| Microsoft Silverlight 5 Developer Runtime cuando se instala en Mac | Omisión importante de características de seguridad | Importante |
| Microsoft Silverlight 5 cuando se instala en todas las versiones compatibles de los clientes de Microsoft Windows | Omisión importante de características de seguridad | Importante |
| Microsoft Silverlight 5 Developer Runtime cuando se instala en todas las versiones admitidas de los clientes de Microsoft Windows | Omisión importante de características de seguridad | Importante |
| Microsoft Silverlight 5 cuando se instala en todas las versiones compatibles de los servidores de Microsoft Windows | Omisión importante de características de seguridad | Importante |
| Microsoft Silverlight 5 Developer Runtime cuando se instala en todas las versiones admitidas de los servidores de Microsoft Windows | Omisión importante de características de seguridad | Importante |
Vulnerabilidad de omisión de DEP/ASLR de Silverlight: CVE-2014-0319
Existe una vulnerabilidad de omisión de características de seguridad en Silverlight debido a la implementación incorrecta de la protección de ejecución de datos (DEP) y la selección aleatoria del diseño del espacio de direcciones (ASLR). La vulnerabilidad podría permitir que un atacante omita la característica de seguridad DEP/ASLR, lo más probable es que durante o en el curso de aprovechar una vulnerabilidad de ejecución remota de código.
Para ver esta vulnerabilidad como entrada estándar en la lista Vulnerabilidades comunes y exposiciones, consulte CVE-2014-0319.
Factores de mitigación
La mitigación hace referencia a una configuración, configuración común o procedimiento recomendado general, existente en un estado predeterminado, que podría reducir la gravedad de la explotación de una vulnerabilidad. Los siguientes factores de mitigación pueden ser útiles en su situación:
- En un escenario de ataque de exploración web, un atacante podría hospedar un sitio web que contiene una página web que se usa para aprovechar esta vulnerabilidad. Además, los sitios web y sitios web comprometidos que aceptan o hospedan contenido o anuncios proporcionados por el usuario podrían contener contenido especialmente diseñado que podría aprovechar esta vulnerabilidad. Sin embargo, en todos los casos, un atacante no tendría forma de forzar a los usuarios a visitar estos sitios web. En su lugar, un atacante tendría que convencer a los usuarios de visitar el sitio web, normalmente obteniendo que hagan clic en un vínculo en un mensaje de correo electrónico o mensaje de Instant Messenger que lleve a los usuarios al sitio web del atacante.
- Un atacante que aprovechara correctamente esta vulnerabilidad junto con otra vulnerabilidad, como una vulnerabilidad de ejecución remota de código, podría obtener los mismos derechos de usuario que el usuario actual. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos.
- De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo mitiga esta vulnerabilidad. Consulte la sección de preguntas más frecuentes de esta actualización de seguridad para obtener más información sobre la configuración de seguridad mejorada de Internet Explorer.
Soluciones alternativas
La solución alternativa hace referencia a un cambio de configuración o configuración que no corrige la vulnerabilidad subyacente, pero podría ayudar a bloquear los vectores de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las siguientes soluciones alternativas y estados en la discusión si una solución alternativa reduce la funcionalidad:
Impedir temporalmente que Microsoft Silverlight se ejecute en Internet Explorer
Deshabilitar Temporalmente Silverlight en Internet Explorer puede ayudar a protegerse frente a esta vulnerabilidad. Para deshabilitar Silverlight en Internet Explorer, siga estos pasos:
- En Internet Explorer, haga clic en el menú Herramientas y, a continuación, haga clic en Opciones de Internet.
- Haga clic en la pestaña Programas y, a continuación, haga clic en Administrar complementos.
- En la lista Barras de herramientas y extensiones , busque "Microsoft Silverlight" y, a continuación, haga clic en Deshabilitar.
Impedir temporalmente que Microsoft Silverlight se ejecute en Mozilla Firefox
Deshabilitar temporalmente Silverlight en Mozilla Firefox puede ayudar a protegerse frente a esta vulnerabilidad. Para deshabilitar Silverlight en Firefox, siga estos pasos:
- En Firefox, haga clic en el menú Herramientas y, a continuación, haga clic en Complementos.
- En la ventana Complementos , haga clic en la pestaña Complementos .
- Busque el complemento silverlight y, a continuación, haga clic en Deshabilitar.
Impedir temporalmente que Microsoft Silverlight se ejecute en Google Chrome
Deshabilitar temporalmente Silverlight en Google Chrome puede ayudar a protegerse frente a esta vulnerabilidad. Para deshabilitar Silverlight en Chrome, siga estos pasos:
- En la barra de direcciones de Chrome, escriba about:plugins.
- En la página que aparece, busque el complemento silverlight y deshabilítelo.
Preguntas más frecuentes
¿Cuál es el ámbito de la vulnerabilidad?
Se trata de una vulnerabilidad de omisión de características de seguridad.
¿Qué causa la vulnerabilidad?
La vulnerabilidad se produce cuando Microsoft Silverlight implementa incorrectamente las características de seguridad DEP/ASLR, lo que permite a un atacante predecir de forma más confiable los desplazamientos de memoria de instrucciones específicas en una pila de llamadas determinada.
¿Qué es Microsoft Silverlight?
Microsoft Silverlight es una implementación multiplataforma y multiplataforma de Microsoft .NET Framework para crear experiencias multimedia y aplicaciones interactivas enriquecidas para la web. Para obtener más información, consulte el sitio oficial de Microsoft Silverlight.
¿Qué es ASLR?
La selección aleatoria del diseño del espacio de direcciones (ASLR) mueve las imágenes ejecutables a ubicaciones aleatorias cuando se inicia un sistema, lo que ayuda a evitar que un atacante aproveche los datos en ubicaciones predecibles. Para que un componente admita ASLR, todos los componentes que carga también deben admitir ASLR. Por ejemplo, si A.exe consume B.dll y C.dll, los tres deben admitir ASLR. De forma predeterminada, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 y Windows Server 2012 R2 aleatorizarán los archivos DLL y exes del sistema, pero los archivos DLL y exes creados por proveedores de software independientes (ISV) deben optar por admitir ASLR mediante la opción del enlazador /DYNAMICBASE.
ASLR también aleatoriza el montón y la memoria de pila:
- Cuando una aplicación crea un montón en Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 y Windows Server 2012 R2, el administrador del montón creará ese montón en una ubicación aleatoria para ayudar a reducir la posibilidad de que un intento de aprovechar una saturación del búfer basado en montón se realice correctamente. La selección aleatoria del montón está habilitada de forma predeterminada para todas las aplicaciones que se ejecutan en Windows Vista y versiones posteriores.
- Cuando un subproceso se inicia en un proceso vinculado con /DYNAMICBASE, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 y Windows Server 2012 R2 mueven la pila del subproceso a una ubicación aleatoria para ayudar a reducir la probabilidad de que una vulnerabilidad de saturación de búfer basada en la pila se realice correctamente.
¿Qué es DEP?
DEP (Prevención de ejecución de datos) es una solución de hardware y software para evitar la ejecución de código desde páginas de memoria que no están marcadas explícitamente como ejecutables. Windows XP SP2, Windows Server 2003 SP1 y sistemas operativos posteriores comprueban si la CPU admite la aplicación de "no execute" o "execute disable bit" para una página de memoria.
- Antes de Windows XP SP2, una vulnerabilidad de seguridad ("código") podría ejecutarse desde la memoria asignada sin el conjunto de constantes de protección de memoria de ejecución. Por ejemplo, si se asignó una página de memoria mediante la función VirtualAlloc() que especifica PAGE_READWRITE, todavía era posible ejecutar código desde esa página de memoria. A partir de Windows XP SP2 y Windows Server 2003 SP1, si la CPU admite la deshabilitación de ejecución (CPU XD - Intel) o ningún bits de ejecución (NX - CPU AMD), cualquier intento de ejecutar código desde una página de memoria con una (por ejemplo) PAGE_READWRITE protección de memoria generará una excepción de infracción de acceso de STATUS_ACCESS_VIOLATION (0xC0000005). Para obtener más información sobre cómo funciona el DEP aplicado por hardware, consulte Tecnologías de protección de memoria.
- DEP es "always on" para procesos de 64 bits en versiones de 64 bits de Windows y no se puede deshabilitar. La directiva de DEP de Windows se puede administrar tanto en todo el sistema como en cada proceso, y ambos enfoques se describen a continuación. Esta entrada de blog se aplicará específicamente a los procesos de 32 bits que se ejecutan en una versión de 32 o 64 bits de Windows.
¿Qué podría hacer un atacante para usar la vulnerabilidad?
En un escenario de ataque de exploración web, un atacante que aprovechara correctamente esta vulnerabilidad podría omitir la característica de seguridad DEP/ASLR, que protege a los usuarios de una amplia clase de vulnerabilidades. La omisión de características de seguridad por sí misma no permite la ejecución arbitraria de código. Sin embargo, un atacante podría usar esta vulnerabilidad de omisión de DEP/ASLR junto con otra vulnerabilidad, como una vulnerabilidad de ejecución remota de código que podría aprovechar la omisión de DEP/ASLR para ejecutar código arbitrario.
¿Cómo podría un atacante aprovechar la vulnerabilidad?
En un escenario de ataque basado en web, un atacante podría hospedar un sitio web con contenido de Silverlight especialmente diseñado para intentar aprovechar esta vulnerabilidad. Además, los sitios web y sitios web comprometidos que aceptan o hospedan contenido proporcionado por el usuario podrían contener contenido especialmente diseñado que podría aprovechar esta vulnerabilidad. Un atacante no tendría forma de forzar a los usuarios a visitar un sitio web especialmente diseñado. En su lugar, un atacante tendría que convencer a los usuarios de tomar medidas. Por ejemplo, un atacante podría engañar a los usuarios para hacer clic en un vínculo que los lleve al sitio del atacante.
Cuando un usuario visita un sitio web que contiene contenido malintencionado de Silverlight mediante un explorador web, como Internet Explorer, se podría lograr una omisión de DEP/ASLR.
Un atacante podría vincular esta vulnerabilidad de omisión de características de seguridad a una vulnerabilidad adicional, lo más probable es que sea una vulnerabilidad de ejecución remota de código. La vulnerabilidad adicional podría aprovechar la omisión de características de seguridad para afectar a la explotación. Por ejemplo, una vulnerabilidad de ejecución remota de código bloqueada por DEP/ASLR podría aprovecharse después de una omisión correcta de DEP/ASLR.
Estoy ejecutando Internet Explorer para Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012. ¿Esto mitiga esta vulnerabilidad?
Sí. De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Configuración de seguridad mejorada es un grupo de opciones preconfiguradas en Internet Explorer que pueden reducir la probabilidad de que un usuario o administrador descargue y ejecute contenido web especialmente diseñado en un servidor. Se trata de un factor de mitigación para los sitios web que no se han agregado a la zona Sitios de confianza de Internet Explorer.
¿Ayuda EMET a mitigar los ataques que podrían intentar aprovechar esta vulnerabilidad?
Sí. El Kit de herramientas de experiencia de mitigación mejorada (EMET) permite a los usuarios administrar tecnologías de mitigación de seguridad que ayudan a que los atacantes puedan aprovechar vulnerabilidades en un determinado fragmento de software. EMET ayuda a mitigar estas vulnerabilidades en Silverlight en sistemas donde se instala eMET y está configurado para trabajar con Internet Explorer.
Para obtener más información sobre EMET, consulte El kit de herramientas de experiencia de mitigación mejorada.
¿Qué sistemas están principalmente en riesgo de la vulnerabilidad?
Las estaciones de trabajo y los servidores terminales están en riesgo. Los servidores podrían estar en mayor riesgo si los administradores permiten a los usuarios iniciar sesión en servidores y ejecutar programas. Sin embargo, los procedimientos recomendados no desaconsejan encarecidamente permitir esto.
¿Qué hace la actualización?
La actualización aborda la vulnerabilidad modificando la funcionalidad para mantener la integridad de DEP/ASLR en Silverlight.
Cuando se emitió este boletín de seguridad, ¿se había divulgado públicamente esta vulnerabilidad?
No. Microsoft recibió información sobre esta vulnerabilidad a través de la divulgación coordinada de vulnerabilidades.
Cuando se emitió este boletín de seguridad, ¿Microsoft recibió informes de que esta vulnerabilidad se estaba explotando?
No. Microsoft no había recibido ninguna información para indicar que esta vulnerabilidad se había usado públicamente para atacar a los clientes cuando este boletín de seguridad se emitió originalmente.
Herramientas e instrucciones de detección e implementación
Hay varios recursos disponibles para ayudar a los administradores a implementar actualizaciones de seguridad.
- El Analizador de seguridad de línea de base de Microsoft (MBSA) permite a los administradores examinar sistemas locales y remotos para que falten actualizaciones de seguridad y configuraciones de seguridad comunes.
- Windows Server Update Services (WSUS), Systems Management Server (SMS) y System Center Configuration Manager ayudan a los administradores a distribuir las actualizaciones de seguridad.
- Los componentes del evaluador de compatibilidad de actualizaciones incluidos con Application Compatibility Toolkit ayudan a simplificar las pruebas y la validación de las actualizaciones de Windows en las aplicaciones instaladas.
Para obtener información sobre estas y otras herramientas disponibles, consulte Herramientas de seguridad para profesionales de TI.
Nota Las herramientas de implementación y detección de Windows no se aplican a los sistemas Mac. Sin embargo, los usuarios de Mac pueden usar la característica de actualización automática de Microsoft Silverlight, lo que ayuda a garantizar que los sistemas estén actualizados con la versión más reciente de Microsoft Silverlight, la funcionalidad de Microsoft Silverlight y las características de seguridad. Para obtener más información sobre la característica de actualización automática de Microsoft Silverlight, consulte Microsoft Silverlight Updater.
Implementación de actualizaciones de seguridad
Silverlight 5 para Mac (todas las ediciones)
Tabla de referencia
La tabla siguiente contiene la información de actualización de seguridad de este software.
| Nombres de archivo de actualización de seguridad | Para Microsoft Silverlight 5 cuando se instala en Mac:\ Silverlight.dmg |
|---|---|
| \ | Para Microsoft Silverlight 5 Developer Runtime cuando se instala en Mac:\ silverlight_developer.dmg |
| Requisito de reinicio | Esta actualización no requiere un reinicio. |
| Información de eliminación | Abra el Finder, seleccione la unidad del sistema, vaya a la carpeta Complementos de Internet - Biblioteca y elimine el archivo Silverlight.Plugin. (Tenga en cuenta que la actualización no se puede quitar sin quitar el complemento silverlight). |
| Información del archivo | Consulte el artículo de Microsoft Knowledge Base 2932677 |
| Comprobación de la instalación | Consulte la sección Actualizar preguntas más frecuentes de este boletín que aborda la pregunta: "Cómo saber qué versión y compilación de Microsoft Silverlight está instalada actualmente?" |
Silverlight 5 para Windows (todas las versiones admitidas)
Tabla de referencia
La tabla siguiente contiene la información de actualización de seguridad de este software.
| Nombres de archivo de actualización de seguridad | Para Microsoft Silverlight 5 cuando se instala en todas las versiones de 32 bits compatibles de Microsoft Windows:\ silverlight.exe |
|---|---|
| \ | Para Microsoft Silverlight 5 Developer Runtime cuando se instala en todas las versiones de 32 bits compatibles de Microsoft Windows:\ silverlight_developer.exe |
| \ | Para Microsoft Silverlight 5 cuando se instala en todas las versiones de 64 bits compatibles de Microsoft Windows:\ silverlight_x64.exe |
| \ | Para Microsoft Silverlight 5 Developer Runtime cuando se instala en todas las versiones de 64 bits compatibles de Microsoft Windows:\ silverlight_developer_x64.exe |
| Conmutadores de instalación | Consulte la Guía de implementación empresarial de Silverlight. |
| Requisito de reinicio | Esta actualización no requiere un reinicio. |
| Información de eliminación | Use el elemento Agregar o quitar programas en Panel de control. (Tenga en cuenta que la actualización no se puede quitar sin quitar Silverlight). |
| Información del archivo | Consulte el artículo de Microsoft Knowledge Base 2932677 |
| Comprobación de la clave del Registro | Para las instalaciones de 32 bits de Microsoft Silverlight 5:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight "Version" = "5.1.30214.0" |
| \ | Para las instalaciones de 64 bits de Microsoft Silverlight 5:\ HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight "Version" = "5.1.30214.0"\ and\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight "Version" = "5.1.30214.0" |
Agradecimientos
Microsoft agradece lo siguiente por trabajar con nosotros para ayudar a proteger a los clientes:
- NSFOCUS Information Technology Co., Ltd. para notificar la vulnerabilidad de omisión de DEP/ASLR de Silverlight (CVE-2014-0319)
Otra información
Programa microsoft Active Protections (MAPP)
Para mejorar las protecciones de seguridad para los clientes, Microsoft proporciona información sobre vulnerabilidades a los principales proveedores de software de seguridad con antelación de cada versión de actualización de seguridad mensual. Después, los proveedores de software de seguridad pueden usar esta información de vulnerabilidad para proporcionar protecciones actualizadas a los clientes a través de su software de seguridad o dispositivos, como antivirus, sistemas de detección de intrusiones basados en red o sistemas de prevención de intrusiones basados en host. Para determinar si las protecciones activas están disponibles en proveedores de software de seguridad, vaya a los sitios web de protección activa proporcionados por los asociados del programa, enumerados en Asociados del Programa de Protección Activa de Microsoft (MAPP).
Soporte técnico
Cómo obtener ayuda y soporte técnico para esta actualización de seguridad
- Ayuda para instalar actualizaciones: compatibilidad con Microsoft Update
- Soluciones de seguridad para profesionales de TI: Solución de problemas y soporte técnico de seguridad de TechNet
- Ayuda a proteger el equipo que ejecuta Windows frente a virus y malware: Solución de virus y Security Center
- Soporte técnico local según su país: Soporte técnico internacional
Declinación de responsabilidades
La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (11 de marzo de 2014): Boletín publicado.
Página generada 2014-06-25 11:32Z-07:00.