Compartir a través de

Boletín de seguridad de Microsoft MS17-023: crítico

Actualización de seguridad para Adobe Flash Player (4014329)

Publicado: 14 de marzo de 2017

Versión: 1.0

Resumen ejecutivo

Esta actualización de seguridad resuelve vulnerabilidades en Adobe Flash Player cuando se instala en todas las ediciones compatibles de Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 y Windows Server 2016.

Esta actualización de seguridad se clasifica como Crítica. La actualización aborda las vulnerabilidades de Adobe Flash Player actualizando las bibliotecas de Adobe Flash afectadas contenidas en Internet Explorer 10, Internet Explorer 11 y Microsoft Edge. Para obtener más información, consulte la sección Software afectado.

Para obtener más información sobre esta actualización, consulte el artículo de Microsoft Knowledge Base 4014329.

Información de vulnerabilidad

Esta actualización de seguridad aborda las siguientes vulnerabilidades, que se describen en Adobe Security Bulletin APSB17-07:

CVE-2017-2997, CVE-2017-2998, CVE-2017-2999, CVE-2017-3000, CVE-2017-3001, CVE-2017-3002, CVE-2017-3003.

Software afectado

Las siguientes versiones o ediciones de software se ven afectadas. Las versiones o ediciones que no aparecen en la lista son anteriores a su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.

Sistema operativo Componente Gravedad y impacto agregados Novedades reemplazado*
Windows 8.1
Windows 8.1 para sistemas de 32 bits Adobe Flash Player (4014329) Ejecución crítica de código remoto 4010250 en MS17-005
Windows 8.1 para sistemas basados en x64 Adobe Flash Player (4014329) Ejecución crítica de código remoto 4010250 en MS17-005
Windows Server 2012 y Windows Server 2012 R2
Windows Server 2012 Adobe Flash Player (4014329) Moderación de la ejecución remota de código 4010250 en MS17-005
Windows Server 2012 R2 Adobe Flash Player (4014329) Moderación de la ejecución remota de código 4010250 en MS17-005
Windows RT 8.1
Windows RT 8.1 Adobe Flash Player (4014329)[1] Ejecución crítica de código remoto 4010250 en MS17-005
Windows 10
Windows 10 para sistemas de 32 bits Adobe Flash Player (4014329)[2] Ejecución crítica de código remoto 4010250 en MS17-005
Windows 10 para sistemas basados en x64 Adobe Flash Player (4014329)[2] Ejecución crítica de código remoto 4010250 en MS17-005
Windows 10 versión 1511 para sistemas de 32 bits Adobe Flash Player (4014329)[2] Ejecución crítica de código remoto 4010250 en MS17-005
Windows 10 versión 1511 para sistemas basados en x64 Adobe Flash Player (4014329)[2] Ejecución crítica de código remoto 4010250 en MS17-005
Windows 10 versión 1607 para sistemas de 32 bits Adobe Flash Player (4014329)[2] Ejecución crítica de código remoto 4010250 en MS17-005
Windows 10 versión 1607 para sistemas basados en x64 Adobe Flash Player (4014329)[2] Ejecución crítica de código remoto 4010250 en MS17-005
Windows Server 2016
Windows Server 2016 para sistemas de 64 bits Adobe Flash Player (4014329)[2] Ejecución crítica de código remoto 4010250 en MS17-005

[1]Esta actualización está disponible a través de Windows Update.

están disponibles a través de Windows Update o a través del Catálogo de Microsoft Update.

*La columna Novedades Reemplazado muestra solo la actualización más reciente en cualquier cadena de actualizaciones reemplazadas. Para obtener una lista completa de las actualizaciones reemplazadas, vaya al Catálogo de Microsoft Update, busque el número de KB de actualización y, a continuación, vea los detalles de actualización (se proporciona información reemplazada de actualizaciones en la pestaña Detalles del paquete).

Preguntas más frecuentes

¿Cómo podría un atacante aprovechar estas vulnerabilidades?
En un escenario de ataque basado en web en el que el usuario usa Internet Explorer para el escritorio, un atacante podría hospedar un sitio web diseñado especialmente diseñado para aprovechar cualquiera de estas vulnerabilidades a través de Internet Explorer y luego convencer a un usuario para ver el sitio web. Un atacante también podría insertar un control ActiveX marcado como "seguro para la inicialización" en una aplicación o un documento de Microsoft Office que hospeda el motor de representación de IE. El atacante también podría aprovechar los sitios web y sitios web comprometidos que aceptan o hospedan contenido o anuncios proporcionados por el usuario. Estos sitios web podrían contener contenido especialmente diseñado que podría aprovechar cualquiera de estas vulnerabilidades. Sin embargo, en todos los casos, un atacante no tendría forma de forzar a los usuarios a ver el contenido controlado por el atacante. En su lugar, un atacante tendría que convencer a los usuarios de tomar medidas, normalmente haciendo clic en un vínculo en un mensaje de correo electrónico o en un mensaje de Instant Messenger que lleva a los usuarios al sitio web del atacante, o abriendo un archivo adjunto enviado a través del correo electrónico.

En un escenario de ataque basado en web en el que el usuario usa Internet Explorer en la interfaz de usuario de estilo de Windows 8, un atacante primero tendría que poner en peligro un sitio web que ya aparece en la lista Vista de compatibilidad (CV). Un atacante podría hospedar un sitio web que contenga contenido flash especialmente diseñado para aprovechar cualquiera de estas vulnerabilidades a través de Internet Explorer y luego convencer a un usuario para ver el sitio web. Un atacante no tendría forma de forzar a los usuarios a ver el contenido controlado por el atacante. En su lugar, un atacante tendría que convencer a los usuarios de tomar medidas, normalmente haciendo clic en un vínculo en un mensaje de correo electrónico o en un mensaje de Instant Messenger que lleva a los usuarios al sitio web del atacante, o abriendo un archivo adjunto enviado a través del correo electrónico. Para obtener más información sobre Internet Explorer y la lista de CV, consulte el artículo de MSDN, Guía para desarrolladores para sitios web con contenido para Adobe Flash Player en Windows 8.

Factores de mitigación

La mitigación hace referencia a una configuración, configuración común o procedimiento recomendado general, existente en un estado predeterminado, que podría reducir la gravedad de la explotación de una vulnerabilidad. Los siguientes factores de mitigación pueden ser útiles en su situación:

  • En un escenario de ataque basado en web en el que el usuario usa Internet Explorer para el escritorio, un atacante podría hospedar un sitio web que contenga una página web que se use para aprovechar cualquiera de estas vulnerabilidades. Además, los sitios web y sitios web comprometidos que aceptan o hospedan contenido o anuncios proporcionados por el usuario podrían contener contenido especialmente diseñado que podría aprovechar cualquiera de estas vulnerabilidades. Sin embargo, en todos los casos, un atacante no tendría forma de forzar a los usuarios a visitar estos sitios web. En su lugar, un atacante tendría que convencer a los usuarios de visitar el sitio web, normalmente obteniendo que hagan clic en un vínculo en un mensaje de correo electrónico o mensaje de Instant Messenger que lleve a los usuarios al sitio web del atacante.
  • Internet Explorer en la interfaz de usuario de estilo windows 8 solo reproducirá contenido flash de sitios enumerados en la lista Vista de compatibilidad (CV). Esta restricción requiere que un atacante ponga primero en peligro un sitio web que ya aparece en la lista de CV. Un atacante podría hospedar contenido flash diseñado especialmente para aprovechar cualquiera de estas vulnerabilidades a través de Internet Explorer y luego convencer a un usuario para ver el sitio web. Un atacante no tendría forma de forzar a los usuarios a ver el contenido controlado por el atacante. En su lugar, un atacante tendría que convencer a los usuarios de tomar medidas, normalmente haciendo clic en un vínculo en un mensaje de correo electrónico o en un mensaje de Instant Messenger que lleva a los usuarios al sitio web del atacante, o abriendo un archivo adjunto enviado a través del correo electrónico.
  • De forma predeterminada, todas las versiones compatibles de Microsoft Outlook y Windows Live Mail abren mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita scripts y controles ActiveX, ayuda a reducir el riesgo de que un atacante pueda usar cualquiera de estas vulnerabilidades para ejecutar código malintencionado. Si un usuario hace clic en un vínculo en un mensaje de correo electrónico, el usuario podría seguir siendo vulnerable a la explotación de cualquiera de estas vulnerabilidades a través del escenario de ataque basado en web.
  • De forma predeterminada, Internet Explorer en Windows Server 2012 y Windows Server 2012 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo puede ayudar a reducir la probabilidad de la explotación de estas vulnerabilidades de Adobe Flash Player en Internet Explorer.

Soluciones alternativas

La solución alternativa hace referencia a un cambio de configuración o configuración que ayudaría a bloquear los vectores de ataque conocidos antes de aplicar la actualización.

  • Impedir que Adobe Flash Player se ejecute
    Puede deshabilitar los intentos de crear instancias de Adobe Flash Player en Internet Explorer y otras aplicaciones que respetan la característica de eliminación de bits, como Office 2007 y Office 2010, estableciendo el bit de eliminación para el control en el Registro.

    Advertencia Si usa el Editor del Registro incorrectamente, puede causar problemas graves que pueden requerir que vuelva a instalar el sistema operativo. Microsoft no garantiza que se puedan resolver los problemas derivados de un uso incorrecto del Editor del Registro. Use el Editor del Registro bajo su propia responsabilidad.

    Para establecer el bit de eliminación del control en el Registro, realice los pasos siguientes:

    1. Pegue lo siguiente en un archivo de texto y guárdelo con la extensión de archivo .reg.

          Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
    "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
    "Compatibility Flags"=dword:00000400

    2. Haga doble clic en el archivo .reg para aplicarlo a un sistema individual. También puede aplicar esta solución alternativa entre dominios mediante la directiva de grupo. Para obtener más información sobre la directiva de grupo, consulte el artículo de TechNet, colección de directivas de grupo.

    Nota Debe reiniciar Internet Explorer para que los cambios surtan efecto.

    Impacto de la solución alternativa. No hay ningún impacto siempre que el objeto no esté pensado para usarse en Internet Explorer.

    Cómo deshacer la solución alternativa. Elimine las claves del Registro que se agregaron al implementar esta solución alternativa.

  • Impedir que Adobe Flash Player se ejecute en Internet Explorer a través de la directiva de grupo
    Nota El complemento MMC de directiva de grupo se puede usar para establecer la directiva para una máquina, para una unidad organizativa o para un dominio completo. Para obtener más información sobre la directiva de grupo, visite los siguientes sitios web de Microsoft:

    Introducción a las directivas de grupo

    ¿Qué es el Editor de objetos de directiva de grupo?

    Configuración y herramientas de directiva de grupo principales

    Para deshabilitar Adobe Flash Player en Internet Explorer a través de la directiva de grupo, realice los pasos siguientes:

    Nota Esta solución alternativa no impide que Flash se invoque desde otras aplicaciones, como Microsoft Office 2007 o Microsoft Office 2010.

    1. Abra la Consola de administración de directivas de grupo y configure la consola para que funcione con el objeto de directiva de grupo adecuado, como la máquina local, la unidad organizativa o el GPO de dominio.

    2. Vaya al siguiente nodo:

      plantillas Administración istrative ->Componentes de Windows ->Internet Explorer ->Características de seguridad ->Administración de complementos

    3. Haga doble clic en Desactivar Adobe Flash en Internet Explorer e impedir que las aplicaciones usen la tecnología de Internet Explorer para crear instancias de objetos Flash.

    4. Cambie la configuración a Habilitado.

    5. Haga clic en Aplicar y, a continuación, haga clic en Aceptar para volver a la Consola de administración de directivas de grupo.

    6. Actualice la directiva de grupo en todos los sistemas o espere al siguiente intervalo de actualización de directiva de grupo programado para que la configuración surta efecto.

  • Impedir que Adobe Flash Player se ejecute en Office 2010 en sistemas afectados
    Nota Esta solución alternativa no impide que Adobe Flash Player se ejecute en Internet Explorer.

    Advertencia Si usa el Editor del Registro incorrectamente, puede causar problemas graves que pueden requerir que vuelva a instalar el sistema operativo. Microsoft no garantiza que se puedan resolver los problemas derivados de un uso incorrecto del Editor del Registro. Use el Editor del Registro bajo su propia responsabilidad.

    Para obtener pasos detallados que puede usar para evitar que un control se ejecute en Internet Explorer, consulte el artículo de Microsoft Knowledge Base 240797. Siga los pasos del artículo para crear un valor de Marcas de compatibilidad en el Registro para evitar que se cree una instancia de un objeto COM en Internet Explorer.

    Para deshabilitar Adobe Flash Player solo en Office 2010, establezca el bit de eliminación para el control ActiveX para Adobe Flash Player en el registro mediante los pasos siguientes:

    1. Cree un archivo de texto denominado Disable_Flash.reg con el siguiente contenido:

          Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
    "Compatibility Flags"=dword:00000400

    2. Haga doble clic en el archivo .reg para aplicarlo a un sistema individual.

    3. Nota Debe reiniciar Internet Explorer para que los cambios surtan efecto.

      También puede aplicar esta solución alternativa entre dominios mediante la directiva de grupo. Para obtener más información sobre la directiva de grupo, consulte el artículo de TechNet, colección de directivas de grupo.

  • Impedir que los controles ActiveX se ejecuten en Office 2007 y Office 2010
    Para deshabilitar todos los controles ActiveX en Microsoft Office 2007 y Microsoft Office 2010, incluido Adobe Flash Player en Internet Explorer, siga estos pasos:

    1. Haga clic en Archivo, en Opciones, en Centro de confianza y, a continuación, en Centro de confianza Configuración.
    2. Haga clic en ActiveX Configuración en el panel izquierdo y, a continuación, seleccione Deshabilitar todos los controles sin notificaciones.
    3. Haga clic en Aceptar para guardar la configuración.

    Impacto de la solución alternativa. Es posible que los documentos de Office que usan controles ActiveX incrustados no se muestren según lo previsto.

    Cómo deshacer la solución alternativa.

    Para volver a habilitar controles ActiveX en Microsoft Office 2007 y Microsoft Office 2010, siga estos pasos:

    1. Haga clic en Archivo, en Opciones, en Centro de confianza y, a continuación, en Centro de confianza Configuración.
    2. Haga clic en ActiveX Configuración en el panel izquierdo y, a continuación, anule la selección de Deshabilitar todos los controles sin notificaciones.
    3. Haga clic en Aceptar para guardar la configuración.

  • Establezca la configuración de la zona de seguridad de internet y la intranet local en "Alto" para bloquear controles ActiveX y Scripting activo en estas zonas.
    Puede ayudar a protegerse contra la explotación de estas vulnerabilidades cambiando la configuración de la zona de seguridad de Internet para bloquear controles ActiveX y Scripting activo. Para ello, establezca la seguridad del explorador en Alta.

    Para aumentar el nivel de seguridad de exploración en Internet Explorer, realice los pasos siguientes:

    1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
    2. En el cuadro de diálogo Opciones de Internet, haga clic en la pestaña Seguridad y, a continuación, haga clic en Internet.
    3. En Nivel de seguridad para esta zona, mueva el control deslizante a Alto. Esto establece el nivel de seguridad de todos los sitios web que visita a High.
    4. Haga clic en Intranet local.
    5. En Nivel de seguridad para esta zona, mueva el control deslizante a Alto. Esto establece el nivel de seguridad de todos los sitios web que visita a High.
    6. Haga clic en Aceptar para aceptar los cambios y volver a Internet Explorer.
      Nota Si no hay ningún control deslizante visible, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante a Alto.

    Nota Establecer el nivel en Alto puede hacer que algunos sitios web funcionen incorrectamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregar ese sitio a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente incluso con la configuración de seguridad establecida en Alta.

    Impacto de la solución alternativa. Hay efectos secundarios para bloquear controles ActiveX y Scripting activo. Muchos sitios web de Internet o una intranet usan ActiveX o Active Scripting para proporcionar funcionalidad adicional. Por ejemplo, un sitio de comercio electrónico en línea o un sitio bancario pueden usar controles ActiveX para proporcionar menús, formularios de pedidos o incluso estados de cuenta. Bloquear controles ActiveX o Scripting activo es una configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear controles ActiveX o Scripting activo para estos sitios, siga los pasos descritos en "Agregar sitios que confía en la zona sitios de confianza de Internet Explorer".

  • Configurar Internet Explorer para preguntar antes de ejecutar Active Scripting o deshabilitar Active Scripting en la zona de seguridad de Internet y intranet local
    Puede ayudar a protegerse contra la explotación de estas vulnerabilidades cambiando la configuración para preguntar antes de ejecutar Active Scripting o para deshabilitar Active Scripting en la zona de seguridad de internet y intranet local. Para ello, realice los pasos siguientes:

    1. En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas .
    2. Haga clic en la pestaña Security (Seguridad).
    3. Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
    4. En Configuración, en la sección Scripting, en Scripting activo, haga clic en Preguntaro deshabilitary, a continuación, haga clic en Aceptar.
    5. Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
    6. En Configuración, en la sección Scripting, en Active Scripting, haga clic en Preguntar o deshabilitary, a continuación, haga clic en Aceptar.
    7. Haga clic en Aceptar para volver a Internet Explorer y, a continuación, haga clic en Aceptar de nuevo.
      Nota Deshabilitar scripting activo en internet y zonas de seguridad de intranet local pueden hacer que algunos sitios web funcionen incorrectamente. Si tiene dificultades para usar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de usar, puede agregar ese sitio a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

    Impacto de la solución alternativa. Hay efectos secundarios para preguntar antes de ejecutar Active Scripting. Muchos sitios web que se encuentran en Internet o en una intranet usan Scripting activo para proporcionar funcionalidad adicional. Por ejemplo, un sitio de comercio electrónico en línea o un sitio bancario pueden usar Active Scripting para proporcionar menús, formularios de pedido o incluso estados de cuenta. Preguntar antes de ejecutar Active Scripting es una configuración global que afecta a todos los sitios de Internet e intranet. Se le pedirá con frecuencia al habilitar esta solución alternativa. Para cada mensaje, si cree que confía en el sitio que está visitando, haga clic en para ejecutar Scripting activo. Si no desea que se le pidan todos estos sitios, siga los pasos descritos en "Agregar sitios que confía en la zona sitios de confianza de Internet Explorer".

  • Agregar sitios de confianza a la zona Sitios de confianza de Internet Explorer
    Después de establecer Internet Explorer para requerir un mensaje antes de ejecutar controles ActiveX y Scripting activo en la zona internet y en la zona intranet local, puede agregar sitios que confíe en la zona de sitios de confianza de Internet Explorer. Esto le permitirá seguir usando sitios web de confianza exactamente como lo hace hoy, a la vez que le ayudará a protegerse de este ataque en sitios que no son de confianza. Se recomienda agregar solo sitios que confíe en la zona Sitios de confianza.

    Para ello, realice los pasos siguientes:

    1. En Internet Explorer, haga clic en Herramientas, haga clic en Opciones de Internety, a continuación, haga clic en la pestaña Seguridad .
    2. En el cuadro Seleccionar una zona de contenido web para especificar su configuración de seguridad actual, haga clic en Sitios de confianza y, a continuación, haga clic en Sitios.
    3. Si desea agregar sitios que no requieren un canal cifrado, haga clic para desactivar la casilla Requerir comprobación del servidor (https:) para todos los sitios de esta zona .
    4. En el cuadro Agregar este sitio web a la zona , escriba la dirección URL de un sitio en el que confíe y, a continuación, haga clic en Agregar.
    5. Repita estos pasos para cada sitio que quiera agregar a la zona.
    6. Haga clic en Aceptar dos veces para aceptar los cambios y volver a Internet Explorer.
      Nota Agregue todos los sitios que confíe en no realizar acciones malintencionadas en el sistema. Dos sitios en particular que puede que desee agregar son *.windowsupdate.microsoft.com y *.update.microsoft.com. Estos son los sitios que hospedarán la actualización y requieren un control ActiveX para instalar la actualización.

Implementación de actualizaciones de seguridad

Para obtener información sobre la implementación de actualizaciones de seguridad, consulte el artículo de Microsoft Knowledge Base al que se hace referencia en el resumen ejecutivo.

Agradecimientos

Microsoft reconoce los esfuerzos de los miembros de la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Consulte Confirmaciones para obtener más información.

Declinación de responsabilidades

La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.

Revisiones

  • V1.0 (14 de marzo de 2017): Boletín publicado.

Página generada 2017-03-07 9:30Z-08:00.