Documento informativo sobre seguridad de Microsoft (953839)

Conjunto de actualizaciones de bits de interrupción de ActiveX

Publicado: Agosto 12, 2008 | Actualizado: Marzo 11, 2009

Microsoft publica un nuevo conjunto de bits de interrupción de ActiveX con este documento informativo.

La actualización incluye bits de interrupción para el siguiente software de terceros:

Aurigma Image Uploader. Aurigma ha publicado un documento informativo y una actualización que corrige vulnerabilidades. Consulte el documento informativo de Aurigma para obtener más información. Estos bits de interrupción se configuran a petición del propietario del control ActiveX. Los clientes que necesiten soporte técnico deben ponerse en contacto con Aurigma. Los identificadores de clase (CLSID) de este control ActiveX son los enumerados en la sección Preguntas más frecuentes de este documento informativo.

HP Instant Support. HP ha publicado 2 documentos informativos, (c01422264) y (c01439758), y una actualización que corrige estas vulnerabilidades. Consulte los documentos informativos de HP para obtener más información y las ubicaciones de descarga. Estos bits de interrupción se configuran a petición del propietario del control ActiveX. Los clientes que requieren compatibilidad deben ponerse en contacto con HP. Los identificadores de clase (CLSID) de este control ActiveX son los enumerados en la sección Preguntas más frecuentes de este documento informativo.

Para obtener más información acerca de cómo instalar esta actualización, consulte el artículo 953839 de Microsoft Knowledge Base.

Información general

Descripción general

Finalidad del documento informativo: Notificación de la disponibilidad de una actualización de bits de interrupción de ActiveX.

Estado del documento informativo: Se han publicado el artículo de Knowledge Base y la actualización asociada.

Recomendación: Consulte el artículo de Knowledge Base al que se hace referencia y aplique la actualización correspondiente.

ReferenciasIdentificación

En el artículo de Microsoft Knowledge Base

953839

Este documento informativo trata sobre el software que se indica a continuación.

Software relacionado

Microsoft Windows 2000 Service Pack 4

Windows XP Service Pack 2 y Service Pack 3

Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2

Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2

Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2

Windows Server 2003 con SP1 para sistemas con Itanium y Windows Server 2003 con SP2 para sistemas con Itanium

Windows Vista y Windows Vista Service Pack 1

Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1

Windows Server 2008 para sistemas de 32 bits

Windows Server 2008 para sistemas x64

Windows Server 2008 para sistemas con Itanium

Top of sectionTop of section

Preguntas frecuentes

¿Esta actualización reemplaza la actualización de seguridad acumulativa de bits de interrupción de ActiveX (950760)?
No, en lo que respecta al sistema de actualizaciones automáticas, esta actualización no reemplaza la actualización de seguridad acumulativa de bits de interrupción de ActiveX (950760) que se describe en el boletín de seguridad de Microsoft MS08-032. El sistema de actualizaciones automáticas seguirá ofreciendo la actualización MS08-032 a los clientes independientemente de si han instalado esta actualización (953839). No obstante, los clientes que instalen esta actualización (953839) no deberán instalar la actualización MS08-032 para estar protegidos con todos los bits de interrupción establecidos en MS08-032.

¿Los usuarios con una instalación de Windows Server 2008 Server Core necesitan instalar esta actualización?
A los usuarios con una instalación de Windows Server 2008 Server Core se les ofrecerá esta actualización, pero no necesitan instalarla. Para obtener más información acerca de la opción de instalación de Server Core, vea Server Core. Tenga en cuenta que la opción de instalación Server Core no se aplica a determinadas ediciones de Windows Server 2008; vea Comparar opciones de instalación de Server Core.

¿Por qué publica Microsoft este conjunto de actualizaciones de bits de interrupción de ActiveX con un documento informativo de seguridad cuando las actualizaciones de bits de interrupción anteriores se publicaron con un boletín sobre seguridad?
Microsoft publica este conjunto de actualizaciones de bits de interrupción de ActiveX con un documento informativo porque los nuevos bits de interrupción no afectan al software de Microsoft.

¿Por qué este documento informativo no tiene asociada una clasificación de seguridad?
Esta actualización contiene bits de interrupción para controles de terceros que no pertenecen a Microsoft. Microsoft no proporciona una clasificación de seguridad para controles de terceros vulnerables.

¿Esta actualización contiene bits de interrupción que se hayan publicado anteriormente en una actualización de seguridad acumulativa de bits de interrupción de ActiveX?
Sí, esta actualización también incluye bits de interrupción que se han establecido anteriormente en el boletín de seguridad de Microsoft MS08-032.

¿Esta actualización contiene bits de interrupción incluidos anteriormente en una actualización de seguridad de Internet Explorer?
No, esta actualización no incluye bits de interrupción que se hayan enviado anteriormente en una actualización de seguridad de Internet Explorer. Se recomienda instalar la última actualización de seguridad acumulativa para Internet Explorer.

¿Qué es un bit de interrupción?
Una característica de seguridad en Microsoft Internet Explorer impide que el motor de proceso HTML de Internet Explorer cargue un control ActiveX. Esto se realiza mediante la creación de una configuración del Registro y se conoce como establecimiento del bit de interrupción. Después de establecer el bit de interrupción, el control no podrá cargarse, aunque esté instalado correctamente. El establecimiento del bit de interrupción garantiza que aunque un componente vulnerable consiga entrar o volver a entrar en un sistema permanecerá inactivo y no provocará ningún daño.

Para obtener más información, consulte el artículo 240797 de Microsoft Knowledge Base: Cómo impedir la ejecución de un control ActiveX en Internet Explorer.

¿Qué es una actualización de seguridad de los bits de interrupción de ActiveX?  
Esta actualización de seguridad sólo contiene los id. de clase (CLSID) de determinados controles ActiveX que son la base de esta actualización de seguridad.

¿Por qué no contiene esta actualización archivos binarios?
Esta actualización sólo realiza cambios en el Registro para impedir que el control se ejecute en Internet Explorer.

¿Debo instalar esta actualización si no tengo instalado el componente afectado ni uso la plataforma afectada?
Sí. La instalación de esta actualización impedirá que el control vulnerable se ejecute en Internet Explorer.

¿Necesito volver a aplicar esta actualización si posteriormente instalo un control ActiveX descrito en una actualización de seguridad?
No, no se requiere volver a aplicar esta actualización. El bit de interrupción impedirá que Internet Explorer ejecute el control aunque se vuelva a instalar posteriormente.

¿Cómo funciona la actualización?
Esta actualización configura el bit de interrupción para una lista de identificadores de clase (CLSID).

Los siguientes identificadores de clase se relacionan con una solicitud de Aurigma para establecer el bit de interrupción de una lista de identificadores de clase que son vulnerables. En el documento informativo publicado por Aurigma se pueden encontrar más detalles:

Identificador de clase

{B60770C2-0390-41A8-A8DE-61889888D840}

{44A6A9CA-AC5B-4C39-8FE6-17E7D06903A9}

{76EE578D-314B-4755-8365-6E1722C001A2}

{F89EF74A-956B-4BD3-A066-4F23DF891982}

{101D2283-EED9-4BA2-8F3F-23DB860946EB}

{69C462E1-CD41-49E3-9EC2-D305155718C1}

{41473CFB-66B6-45B8-8FB3-2BC9C1FD87BA}

{108092BF-B7DB-40D1-B7FB-F55922FCC9BE}

{CF08D263-B832-42DB-8950-F40C9E672E27}

{F1F51698-7B63-4394-8743-1F4CF1853DE1}

{905BF7D7-6BC1-445A-BE53-9478AC096BEB}

{916063A5-0098-4FB7-8717-1B2C62DD4E45}

{AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4}

{AE6C4705-0F11-4ACB-BDD4-37F138BEF289}

{FA8932FF-E064-4378-901C-69CB94E3A20A}

{3604EC19-E009-4DCB-ABC5-BB95BF92FD8B}

{65FB3073-CA8E-42A1-9A9A-2F826D05A843}

{7EB2A2EC-1C3A-4946-9614-86D3A10EDBF3}

{9BAFC7B3-F318-4BD4-BABB-6E403272615A}

{05CDEE1D-D109-4992-B72B-6D4F5E2AB731}

{977315A5-C0DB-4EFD-89C2-10AA86CA39A5}

{1E0D3332-7441-44FF-A225-AF48E977D8B6}

{B85537E9-2D9C-400A-BC92-B04F4D9FF17D}

{2C2DE2E6-2AD1-4301-A6A7-DF364858EF01}

{0270E604-387F-48ED-BB6D-AA51F51D6FC3}

{FC28B75F-F9F6-4C92-AF91-14A3A51C49FB}

{86C2B477-5382-4A09-8CA3-E63B1158A377}

{8CC18E3F-4E2B-4D27-840E-CB2F99A3A003}

{68BBCA71-E1F6-47B2-87D3-369E1349D990}

{8DBC7A04-B478-41D5-BE05-5545D565B59C}

{D986FE4B-AE67-43C8-9A89-EADDEA3EC6B6}

{6CA73E8B-B584-4533-A405-3D6F9C012B56}

{6E5E167B-1566-4316-B27F-0DDAB3484CF7}

{A7866636-ED52-4722-82A9-6BAABEFDBF96}

{B0A08D67-9464-4E73-A549-2CC208AC60D3}

{3D6A1A85-DE54-4768-9951-053B3B02B9B0}

{947F2947-2296-42FE-92E6-E2E03519B895}

{47AF06DD-8E1B-4CA4-8F55-6B1E9FF36ACB}

{B26E6120-DD35-4BEA-B1E3-E75F546EBF2A}

{926618A9-4035-4CD6-8240-64C58EB37B07}

{B95B52E9-B839-4412-96EB-4DABAB2E4E24}

{CB05A177-1069-4A7A-AB0A-5E6E00DCDB76}

{A233E654-53FF-43AA-B1E2-60DA2E89A1EC}

{6981B978-70D9-40B9-B00E-903B6FC8CA8A}

{C86EE68A-9C77-4441-BD35-14CC6CC4A189}

{2875E7A5-EE3C-4FE7-A23E-DE0529D12028}

{66E07EF9-4E89-4284-9632-6D6904B77732}

{00D46195-B634-4C41-B53B-5093527FB791}

{497EE41C-CE06-4DD4-8308-6C730713C646}

{7A12547F-B772-4F2D-BE36-CE5D0FA886A1}

{0B9C0C26-728C-4FDA-B8DD-59806E20E4D9}

{F399F5B6-3C63-4674-B0FF-E94328B1947D}

{8C7A23D9-2A9B-4AEA-BA91-3003A316B44D}

{E6127E3B-8D17-4BEA-A039-8BB9D0D105A2}

{A3796166-A03C-418A-AF3A-060115D4E478}

{73BCFD0F-0DAA-4B21-B709-2A8D9D9C692A}

{93C5524B-97AE-491E-8EB7-2A3AD964F926}

{833E62AD-1655-499F-908E-62DCA1EB2EC6}

{285CAE3C-F16A-4A84-9A80-FF23D6E56D68}

{AA13BD85-7EC0-4CC8-9958-1BB2AA32FD0B}

{4614C49A-0B7D-4E0D-A877-38CCCFE7D589}

{974E1D88-BADF-4C80-8594-A59039C992EA}

{692898BE-C7CC-4CB3-A45C-66508B7E2C33}

{F6A7FF1B-9951-4CBE-B197-EA554D6DF40D}

{038F6F55-C9F0-4601-8740-98EF1CA9DF9A}

{652623DC-2BB4-4C1C-ADFB-57A218F1A5EE}

{BA162249-F2C5-4851-8ADC-FC58CB424243}

{9275A865-754B-4EDF-B828-FED0F8D344FC}

{6C095616-6064-43ca-9180-CF1B6B6A0BE4}

{E1A26BBF-26C0-401d-B82B-5C4CC67457E0}

{A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98}

{5C6698D9-7BE4-4122-8EC5-291D84DBD4A0}

{E4C97925-C194-4551-8831-EABBD0280885}

{CC7DA087-B7F4-4829-B038-DA01DFB5D879}

Los siguientes identificadores de clase se relacionan con una solicitud de HP para establecer el bit de interrupción de una lista de identificadores de clase que son vulnerables. En los documentos informativos (c01422264) y (c01439758) publicados por HP se pueden encontrar más detalles:

Identificador de clase

{14C1B87C-3342-445F-9B5E-365FF330A3AC}

{60178279-6D62-43af-A336-77925651A4C6}

{DC4F9DA0-DB05-4BB0-8FB2-03A80FE98772}

{0C378864-D5C4-4D9C-854C-432E3BEC9CCB}

{93441C07-E57E-4086-B912-F323D741A9D8}

{CDAF9CEC-F3EC-4B22-ABA3-9726713560F8}

{CF6866F9-B67C-4B24-9957-F91E91E788DC}

{A95845D8-8463-4605-B5FB-4F8CFBAC5C47}

{B9C13CD0-5A97-4C6B-8A50-7638020E2462}

{C70D0641-DDE1-4FD7-A4D4-DA187B80741D}

{DE233AFF-8BD5-457E-B7F0-702DBEA5A828}

{AB049B11-607B-46C8-BBF7-F4D6AF301046}

{910E7ADE-7F75-402D-A4A6-BB1A82362FCA}

{42C68651-1700-4750-A81F-A1F5110E0F66}

{BF931895-AF82-467A-8819-917C6EE2D1F3}

{4774922A-8983-4ECC-94FD-7235F06F53A1}

{E12DA4F2-BDFB-4EAD-B12F-2725251FA6B0}

{C94188F6-0F9F-46B3-8B78-D71907BD8B77}

{6470DE80-1635-4B5D-93A3-3701CE148A79}

{17E67D4A-23A1-40D8-A049-EE34C0AF756A}

{AB237044-8A3B-42BB-9EE1-9BFA6721D9ED}

{784F2933-6BDD-4E5F-B1BA-A8D99B603649}

Top of sectionTop of section

Acciones recomendadas

Consultar el artículo de Microsoft Knowledge Base asociado a este documento informativo

Microsoft recomienda a los clientes que instalen esta actualización. Los clientes interesados en obtener más información acerca de esta actualización, pueden consultar el artículo 953839 de Microsoft Knowledge Base.

Soluciones provisionales

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

Evitar que los objetos COM se ejecuten en Internet Explorer

Puede deshabilitar los intentos de ejecutar un objeto COM en Internet Explorer configurando el bit de interrupción del control en el Registro.

Advertencia Si utiliza el Editor del Registro incorrectamente, puede provocar problemas graves que conlleven la reinstalación del sistema operativo. Microsoft no le garantiza que pueda resolver los problemas provocados por el uso incorrecto del Editor del Registro. El uso del Editor del Registro es responsabilidad suya.

Si desea ver el procedimiento detallado para impedir que un control se ejecute en Internet Explorer, consulte el artículo 240797 de Microsoft Knowledge Base. Siga los pasos de este artículo para crear un valor de indicadores de compatibilidad en el Registro para evitar que se ejecute un objeto COM en Internet Explorer.

Nota Los identificadores de clase y los archivos correspondientes donde se encuentran los objetos ActiveX se documentan en “¿Cómo funciona esta actualización?” en la sección Preguntas más frecuentes anterior. Reemplace {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} por los identificadores de clase que se encuentran en esta sección.

Para configurar el bit de interrupción para un CLSID con un valor de {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, pegue el texto siguiente en un editor de textos como el Bloc de notas. A continuación, guarde el archivo con la extensión de nombre de archivo .reg.

Editor del Registro de Windows versión 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }]
"Compatibility Flags"=dword:00000400

Puede aplicar este archivo .reg a sistemas individuales si hace doble clic en él. También puede aplicarlo entre dominios mediante Directiva de grupo. Para obtener más información acerca de directivas de grupo, consulte los siguientes sitios web de Microsoft:

Colección de directivas de grupo

¿Qué es el editor de objetos de directiva de grupo?

Configuración y herramientas básicas de directiva de grupo

Nota Debe reiniciar Internet para que los cambios surtan efecto.

Consecuencias de la solución provisional: No hay consecuencias siempre que el objeto no esté diseñado para utilizarse en Internet Explorer.

Top of sectionTop of section
Top of sectionTop of section

Recursos:

Blog de Seguridad Microsoft Latinoamérica: http://blogs.technet.com/seguridad/.

Puede proporcionar comentarios si rellena el formulario en Ayuda y soporte técnico de Microsoft: Póngase en contacto con nosotros.

Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico de los Servicios de soporte técnico de Microsoft. Para obtener más información acerca de las opciones de asistencia disponibles, visite Ayuda y soporte técnico de Microsoft.

Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite Soporte técnico internacional.

Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft.

Renuncia:

La información proporcionada en este documento informativo se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones: 

12 de agosto de 2008: Documento informativo publicado

13 de agosto de 2008: Actualización para incluir los vínculos a los documentos informativos de HP

25 de noviembre de 2008: Se ha agregado una entrada a las Preguntas más frecuentes para informar que a los usuarios con la instalación de Windows Server 2008 Server Core se les seguirá ofreciendo la actualización, pero que no necesitan instalarla.

11 de marzo de 2009: Se ha agregado una entrada a las Preguntas más frecuentes para comunicar que, en lo que respecta al sistema de actualizaciones automáticas, esta actualización no reemplaza la actualización de seguridad acumulativa de bits de interrupción de ActiveX (950760) que se describe en el boletín de seguridad de Microsoft MS08-032.


Principio de la páginaPrincipio de la página