Documento informativo sobre seguridad de Microsoft (911302)

Una vulnerabilidad en la forma en que Internet Explorer gestiona los eventos onLoad podría permitir la ejecución remota de código

Publicado: noviembre 21, aaaa

Microsoft está investigando nuevos informes públicos sobre una vulnerabilidad que afecta a Microsoft Internet Explorer en Microsoft Windows 98, Windows 98 Second Edition, Windows Millennium Edition, Windows 2000 Service Pack 4 y Windows XP Service Pack 2. Los clientes con Windows Server 2003 y Windows Server 2003 Service Pack 1 en sus configuraciones predeterminadas, con la configuración de seguridad mejorada activada, no se ven afectados. También se nos ha informado de la existencia de código conceptual para intentar aprovechar esta vulnerabilidad, pero no tenemos constancia hasta el momento de incidencias en clientes. Seguiremos investigando estos informes públicos.

Una vez terminada la investigación, Microsoft tomará las medidas apropiadas para proteger a sus clientes. Dichas medidas podrían incluir una actualización de seguridad en nuestra publicación mensual, o bien una actualización independiente, según las necesidades del cliente.

El primer informe público data de mayo, cuando se mencionó como un problema de estabilidad que provocaba que el explorador se cerrara. Ahora se ha dado a conocer nueva información que indica que es posible la ejecución remota de código. A Microsoft le preocupa que este nuevo informe de una vulnerabilidad en Internet Explorer no se haya revelado de forma responsable, lo que posiblemente haya podido suponer un riesgo para los usuarios. Continuamos fomentando la revelación responsable de las vulnerabilidades. Creemos que la práctica comúnmente aceptada de informar directamente de las vulnerabilidades al proveedor contribuye al interés de todos. Esta práctica permite que los clientes reciban actualizaciones completas y de alta calidad para vulnerabilidades de seguridad, sin tener que estar expuestos a atacantes malintencionados durante el periodo en que se prepara una actualización de seguridad.

Microsoft recomienda a los usuarios que actúen con precaución cuando abran vínculos en un correo electrónico. Para obtener más información acerca de cómo explorar la Web de forma segura, visite el sitio de informática de confianza.

Seguimos recomendando a los clientes que apliquen los consejos de la sección Proteja su PC, a saber: habilitar un servidor de seguridad, aplicar actualizaciones de software e instalar software antivirus. La información completa al respecto puede consultarse en el sitio Proteja su PC.

Los clientes que piensen que se han visto afectados por este problema pueden ponerse en contacto con los Servicios de soporte técnico. En Estados Unidos y Canadá, este servicio está disponible sin costo en el número de PC Safety (1 866-PCSAFETY). Los clientes que vivan en otros países pueden buscar el número gratuito de asistencia relacionada con virus en el sitio Web de ayuda y soporte técnico de Microsoft.

Factores atenuantes:

•	En el caso de un ataque basado en Web, el intruso tendría que alojar un sitio Web que contuviera una página Web para aprovechar esta vulnerabilidad. El atacante no podría obligar a los usuarios a visitar un sitio Web malintencionado. Por tanto, tendría que atraerlos al sitio Web, normalmente incitándoles a hacer clic en un vínculo que le lleve al mismo.
•	Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
•	La zona Sitios restringidos ayuda a reducir los ataques que podrían aprovechar esta vulnerabilidad al impedir que se usen secuencias de comandos ActiveX cuando se lee correo electrónico HTML. Sin embargo, si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable a este problema por la posibilidad de tratarse de una situación de ataque basado en Web. De forma predeterminada, Outlook Express 6, Outlook 2002 y Outlook 2003 abren los mensajes de correo electrónico HTML dentro de la zona Sitios restringidos. Además, Outlook 98 y Outlook 2000 abren los mensajes de correo electrónico HTML dentro de la zona Sitios restringidos si se ha instalado la Actualización de seguridad para correo electrónico de Outlook. Outlook Express 5.5 Service Pack 2 abre el correo electrónico en formato HTML en la zona Sitios restringidos si se ha instalado el boletín de seguridad de Microsoft MS04-018.
•	De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2003 Service Pack 1, Windows Server 2003 con Service Pack 1 para sistemas con Itanium y Windows Server 2003 x64 Edition se ejecuta en un modo restringido, que se conoce como Configuración de seguridad mejorada. Este modo soluciona esta vulnerabilidad. Vea la sección P+F correspondiente a esta actualización de seguridad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.

Información general

Descripción general

Finalidad del documento: Ofrecer a los clientes una notificación inicial de la vulnerabilidad que se dio a conocer recientemente. Consulte la sección “Acciones recomendadas” del documento informativo sobre seguridad para obtener más información.

Estado del documento informativo: Investigación en curso

Recomendación: Revisar y configurar las acciones sugeridas según corresponda.

Referencias	Identificación
Referencia CERT	VU#887861
Referencia CVE	CAN-2005-1790
Artículo de Microsoft Knowledge Base	911302

Este documento informativo trata sobre el software que se indica a continuación.

Software relacionado
Internet Explorer 5.01 Service Pack 4 en Microsoft Windows 2000 Service Pack 4
Internet Explorer 6 Service Pack 1 en Microsoft Windows 2000 Service Pack 4 o en Microsoft Windows XP Service Pack 1
Internet Explorer 6 en Microsoft Windows XP Service Pack 2
Internet Explorer 6 en Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1
Internet Explorer 6 en Microsoft Windows Server 2003 para sistemas con Itanium, Microsoft Windows Server 2003 con Service Pack 1 para sistemas con Itanium, Microsoft Windows Server 2003 x64 Edition y Microsoft Windows XP Professional x64 Edition
Internet Explorer 5.5 Service Pack 2 en Microsoft Windows Millennium Edition
Internet Explorer 6 Service Pack 1 en Microsoft Windows 98, en Microsoft Windows 98 SE o en Microsoft Windows Millennium Edition

Top of section

Preguntas más frecuentes

¿Cuál es el alcance de este documento informativo?
Se ha comunicado a Microsoft un nuevo informe de vulnerabilidad que afecta a Internet Explorer, que es un componente de Microsoft Windows. La vulnerabilidad afecta al software enumerado en la sección "Descripción general".

¿Se trata de una vulnerabilidad de la seguridad que requiere la publicación de una actualización de seguridad por parte de Microsoft?
Estamos investigando el problema para determinar qué medidas deben tomar los clientes. La corrección para este problema se incluirá en un boletín de seguridad.

¿Cuál es la causa de esta vulnerabilidad?
Cuando Internet Explorer muestra una página Web que contiene un evento de activación al momento de cargar (onLoad) que apunta a un objeto de ventana, la memoria del sistema puede alterarse de forma tal que un atacante podría ejecutar código arbitrario.

¿Para qué puede utilizar un atacante esta vulnerabilidad?
Un atacante que aprovechara con éxito esta vulnerabilidad podría obtener el control completo del sistema afectado. En el caso de un ataque basado en Web, el atacante tendría que alojar un sitio Web que aprovechara esta vulnerabilidad. El atacante no podría obligar a los usuarios a visitar un sitio Web malintencionado. Por lo tanto, tendría que atraerlos al sitio Web; para ello debería, por ejemplo, incitarles a hacer clic en un vínculo que les llevara al sitio Web del atacante. También sería posible que se mostrara contenido Web malintencionado mediante titulares de anuncios u otros métodos para hacer llegar contenido Web a los sistemas afectados.

¿Cómo podría aprovechar un atacante la vulnerabilidad?
Un atacante podría alojar un sitio Web malintencionado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio Web.

Top of section

Acciones recomendadas

Soluciones

Microsoft ha probado las siguientes soluciones provisionales. Aunque estas soluciones provisionales no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución temporal reduce la funcionalidad, se identifica en la siguiente sección.

Modifique la configuración de Internet Explorer de forma que se pregunte antes de ejecutar secuencias de comandos ActiveX o se deshabilite la ejecución en la zona de seguridad de Internet e Intranet local.

Puede contribuir a la protección contra esta vulnerabilidad modificando la configuración de modo que se pregunte antes de ejecutar secuencias de comandos ActiveX o se deshabilite la ejecución. Para ello, siga estos pasos:

1.	En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
2.	Haga clic en la ficha Seguridad.
3.	Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
4.	En Configuración, bajo la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos o Desactivar y, a continuación, haga clic en Aceptar.
5.	Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
6.	En Configuración, bajo la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos o Desactivar y, a continuación, haga clic en Aceptar.
7.	Haga clic en Aceptar dos veces para volver a Internet Explorer.

Consecuencias de la solución provisional: Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios Web de Internet o una intranet utilizan controles ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le preguntará para que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar las secuencias de comandos ActiveX. Si no desea que se le pregunte para todos estos sitios, puede utilizar la solución "Restringir los sitios Web sólo a aquellos de confianza".

Top of section

Configurar la zona de seguridad de Internet e Intranet local en “Alta” de forma que se pregunte antes de ejecutar secuencias de comandos ActiveX en estas zonas

Puede colaborar en la protección contra esta vulnerabilidad modificando la configuración de la zona de seguridad Internet para que solicite datos antes de ejecutar secuencias de comandos ActiveX. Para ello, establezca la seguridad del explorador en Alta.

Para aumentar el nivel de seguridad en Microsoft Internet Explorer, siga estos pasos:

1.	En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
2.	En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
3.	En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece la configuración de seguridad para todos los sitios Web que visite en Alta.

Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alto.

Nota Al establecer el nivel en Alto, es posible que algunos sitios Web no funcionen correctamente. Si tiene dificultades para utilizar un sitio Web después de cambiar esta configuración y está seguro de que el sitio es seguro de utilizar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

Top of section

Restringir los sitios Web sólo a aquellos de confianza

Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir utilizando como siempre los sitios Web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

Para ello, siga estos pasos:

1.	En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
2.	En el cuadro Seleccione una zona de contenido Web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
3.	Si desea agregar sitios que no requieren un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
4.	En el cuadro Agregar este sitio Web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
5.	Repita estos pasos para cada sitio que desee agregar a la zona.
6.	Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay un sitio que es aconsejable agregar: “*.windowsupdate.microsoft.com” (sin las comillas). Se trata del sitio que alojará la actualización y requiere de un control ActiveX para instalarla.

Top of section

•	Microsoft recomienda a los usuarios que actúen con precaución cuando abran vínculos en un correo electrónico. Para obtener más información acerca de cómo explorar la Web de forma segura, visite el sitio de informática de confianza.
•	Los clientes de EE.UU. y Canadá que piensen que pueden estar afectados por esta vulnerabilidad pueden recibir soporte técnico de los Servicios de soporte técnico de Microsoft en 1-866-PCSAFETY. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad o virus son gratuitas. Los clientes que vivan en otros países pueden recibir asistencia a través de cualquiera de los métodos que encontrarán en el sitio Web de ayuda y soporte técnico de seguridad para usuarios domésticos.
•	Todos los usuarios deben aplicar las actualizaciones de seguridad más recientes de Microsoft para que sus equipos cuenten con el máximo nivel de protección posible. Los clientes que han activado las actualizaciones automáticas recibirán de forma automática todas las actualizaciones de Windows. Para obtener información adicional acerca de las actualizaciones de seguridad, visite el sitio Web de seguridad de Microsoft.
•	Proteja su PC Seguimos recomendando a los clientes que sigan los consejos de la sección Proteja su PC, a saber: habilitar un servidor de seguridad, obtener actualizaciones de software e instalar software antivirus. La información completa al respecto puede consultarse en el sitio Web Proteja su PC.
•	Para obtener más información acerca de la seguridad en Internet, los clientes pueden visitar el sitio Web de seguridad de Microsoft.
•	Mantener actualizado Windows Todos los usuarios de Windows deben aplicar las actualizaciones de seguridad más recientes para que sus equipos cuenten con el máximo nivel de protección posible. Si tiene dudas acerca de si su software está actualizado, visite el sitio Web de Microsoft Update, explore las actualizaciones disponibles para el equipo e instale las actualizaciones importantes que se le ofrezcan. Si tiene la función Actualizaciones automáticas activada, recibirá las actualizaciones en cuanto estén disponibles; asegúrese de instalarlas.

Top of section

Recursos:

•	Puede hacernos llegar sus comentarios si rellena el formulario que se encuentra en el siguiente sitio Web.
•	Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico de los Servicios de soporte técnico de Microsoft. Para obtener más información sobre las opciones de asistencia disponibles, visite el sitio Web de ayuda y soporte técnico en línea de Microsoft.
•	Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico internacional, visite el sitio Web de soporte técnico internacional de Microsoft.
•	El sitio Web Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft.

Renuncia:

La información proporcionada en este documento informativo se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones:

•	21 de noviembre de 2005: Publicación del documento informativo

Principio de la página