Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Amenaza mixta de ataque combinado con Safari de Apple en la plataforma Windows
Publicado: viernes, 30 de mayo de 2008 | Actualizado: martes, 14 de abril de 2009
Versión: 2.0
Microsoft ha investigado nuevos informes públicos de una amenaza mixta que permite la ejecución remota de código en todas las versiones compatibles de Windows XP y Windows Vista cuando se ha instalado Safari de Apple para Windows. Safari no se instala con Windows XP o Windows Vista de forma predeterminada; se debe instalar independientemente o mediante la aplicación de actualización de software de Apple. Los clientes que ejecutan Safari en Windows deben consultar este documento informativo.
Hemos publicado el boletín de seguridad de Microsoft MS09-014, Actualización de seguridad acumulativa para Internet Explorer (963027), y MS09-015, Una vulnerabilidad de amenaza mixta en SearchPath podría permitir la elevación de privilegios (959426), para tratar este problema. Para obtener más información acerca de este problema, y los vínculos de descarga de las actualizaciones de seguridad, consulte MS09-014 y MS09-015.
Apple Support ha publicado un documento informativo de seguridad que corrige la vulnerabilidad de Safari 3.1.2 de Apple para Windows. Consulte el documento informativo de seguridad de Apple Acera del contenido de seguridad de Safari 3.1.2 para Windows para obtener más información.
Factores atenuantes:
- Los clientes que han cambiado la ubicación predeterminada donde Safari descarga contenido en la unidad local no están afectados por esta amenaza mixta.
Información general
Descripción general
Finalidad del documento informativo: Ofrecer a los clientes la notificación inicial y proporcionar información adicional con respecto a las plataformas de Windows afectadas.
Estado del documento informativo: Publicación del documento informativo.
Recomendación: Revisar y configurar las acciones sugeridas según corresponda.
| Referencias | Identificación |
|---|---|
| En el artículo de Microsoft Knowledge Base | 953818 |
| Boletín de seguridad de Microsoft | MS09-014 |
| Boletín de seguridad de Microsoft | MS09-015 |
| Referencia CVE | CVE-2008-2540 |
Este documento informativo trata sobre el software que se indica a continuación.
| Software relacionado |
| Windows XP Service Pack 2 |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Vista |
| Windows Vista Service Pack 1 |
| Windows Vista x64 Edition |
| Windows Vista x64 Edition Service Pack 1 |
| Internet Explorer 6 para Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2 |
| Internet Explorer 7 para Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2 |
| Internet Explorer 7 para Windows Vista, Windows Vista Service Pack 1, Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1 |
Preguntas frecuentes
¿Cuál es el alcance de este documento informativo?
En este documento informativo se explican los informes públicos de una amenaza mixta que podría permitir la ejecución remota de código y que afecta a todas las ediciones compatibles de Windows XP y Windows Vista. Para obtener una lista completa del software afectado, consulte el software que se enumera en la sección “Información general”.
¿Se trata de una vulnerabilidad de la seguridad que requiere la publicación de una actualización de seguridad por parte de Microsoft?
Hemos publicado el boletín de seguridad de Microsoft MS09-014, Actualización de seguridad acumulativa para Internet Explorer (963027), y MS09-015, Una vulnerabilidad de amenaza mixta en SearchPath podría permitir la elevación de privilegios (959426), para tratar este problema.
¿Qué provoca esta amenaza?
Una combinación de la ubicación de descarga predeterminada en Safari y el modo en que el escritorio de Windows administra los ejecutables crea una amenaza mixta en la que se pueden descargar archivos en el equipo de un usuario sin preguntar, lo que permite que se ejecuten. Safari está disponible como instalación independiente o a través de la aplicación de actualización de software de Apple.
¿Para qué puede usar un atacante esta función?
Un atacante podría engañar a los usuarios para que visitaran un sitio web especialmente diseñado que podría descargar contenido en el equipo de un usuario y ejecutar dicho contenido localmente con los mismos permisos que los del usuario que ha iniciado sesión.
Acciones recomendadas
- Aplique las actualizaciones del boletín de seguridad de Microsoft MS09-014, Actualización de seguridad acumulativa para Internet Explorer (963027), y MS09-015, Una vulnerabilidad de amenaza mixta en SearchPath podría permitir la elevación de privilegios (959426), que correspondan a su entorno.
- Si usa Apple Safari en Windows, asegúrese de que es la versión 3.1.2 o superior. La última actualización de Apple Safari está disponible en Descarga de Apple Safari.
- Consulte el artículo de Microsoft Knowledge Base asociado a este documento informativo.
Soluciones provisionales
Microsoft ha probado las siguientes soluciones provisionales. Aunque estas soluciones provisionales no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución provisional reduce la funcionalidad, se identifica en la siguiente sección.
- Cambie la ubicación de descarga de contenido en Safari por un directorio recién creado
- Cree un directorio nuevo, como c:\SafariDownload.
- En Safari, haga clic en Edit (Edición) y, a continuación, seleccione Preferences (Preferencias).
- En la opción Save Downloaded Files to: (Guardar archivos descargados en:), seleccione el directorio recién creado.
Información adicional:
Agradecimientos:
- Aviv Raff, por colaborar con nosotros y por informar de la amenaza combinada de Safari y Microsoft Internet Explorer
Recursos:
- Puede proporcionar comentarios si rellena el formulario en Ayuda y soporte técnico de Microsoft: Póngase en contacto con nosotros.
- Puede solicitar soporte técnico en los Servicios de soporte técnico de Microsoft o a través del teléfono 902 197 198.
- Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite Soporte técnico internacional.
- Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft.
Renuncia:
La información proporcionada en este documento informativo se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.
Revisiones:
- V1.0 (30 de mayo de 2008): Publicación del documento informativo.
- V1.1 (6 de junio de 2008): Modificación de los pasos de la solución provisional y adición de agradecimientos.
- V1.2 (20 de junio de 2008): Documento informativo actualizado para proporcionar un vínculo al documento informativo de seguridad relacionado de Apple.
- V1.3 (2 de julio de 2008): Se han actualizado las acciones recomendadas.
- V2.0 (14 de abril de 2009): Se han agregado referencias y vínculos a MS09-014 y MS09-015, que tratan el problema de este documento informativo.
Built at 2014-04-18T01:50:00Z-07:00