Documento informativo sobre seguridad de Microsoft (973882)

Vulnerabilidades en Microsoft Active Template Library (ATL) podrían permitir la ejecución remota de código

Publicado: Julio 28, 2009 | Actualizado: 13 de octubre de 2009

Versión: 4.0

Microsoft publica este documento informativo sobre seguridad para ofrecer información acerca de nuestra investigación en curso de las vulnerabilidades en las versiones pública y privada de Active Template Library (ATL) de Microsoft. Este documento informativo también proporciona orientación acerca de lo que los desarrolladores pueden hacer para garantizar que los controles y los componentes que han creado no son vulnerables a los problemas de ATL, lo que los profesionales de TI y los clientes pueden hacer para prevenir los posibles ataques que usen estas vulnerabilidades y lo que Microsoft está haciendo como parte de su investigación continua acerca del problema descrito en este documento informativo. Este documento informativo sobre seguridad también ofrece una lista exhaustiva de todos los boletines y las actualizaciones de seguridad de Microsoft relacionados con las vulnerabilidades de ATL. La investigación de Microsoft acerca de las versiones privadas y públicas de ATL está en curso y publicaremos actualizaciones de seguridad y orientación según resulte adecuado como parte del proceso de investigación.

Microsoft tiene constancia de las vulnerabilidades de seguridad en las versiones públicas y privadas de ATL. Los desarrolladores usan Microsoft ATL para crear controles o componentes para la plataforma Windows. Las vulnerabilidades descritas en este documento informativo sobre seguridad y en el boletín de seguridad de Microsoft MS09-035 podrían provocar ataques de divulgación de información o de ejecución remota de código en los controles y en los componentes que se han creado con las versiones vulnerables de ATL. Los componentes y los controles creados con la versión vulnerable de ATL pueden estar expuestos a una situación vulnerable debido al modo en que ATL se usa o debido a problemas en el propio código de ATL.

Orientación para desarrolladores: Microsoft ha corregido los problemas de los encabezados públicos de ATL y ha publicado actualizaciones para las bibliotecas en el boletín MS09-035, "Vulnerabilidades en Visual Studio Active Template Library podrían permitir la ejecución remota de código". Microsoft recomienda que los desarrolladores que han creado controles o componentes con ATL evalúen inmediatamente sus controles por si estuvieran expuestos a una condición vulnerable y sigan la orientación facilitada para crear controles y componentes que no sean vulnerables. Para obtener más información acerca de las vulnerabilidades y orientación para corregir los problemas de ATL, vea MS09-035, "Vulnerabilidades en Visual Studio Active Template Library podrían permitir la ejecución remota de código".

Orientación para el profesional de TI y los clientes: Para ayudar a proteger a los clientes mientras los desarrolladores actualizan sus componentes y controles, Microsoft ha desarrollado una nueva tecnología de defensa. Esta nueva tecnología de defensa integrada en Internet Explorer ayuda a proteger a los clientes de ataques futuros con las vulnerabilidades de Microsoft Active Template Library descritas en este documento informativo y en el boletín de seguridad de Microsoft MS09-035. Para beneficiarse de esta nueva tecnología de defensa, los profesionales de TI y los clientes deben implementar inmediatamente la actualización de seguridad para Internet Explorer que se ofrece en el boletín de seguridad de Microsoft MS09-034, "Actualización de seguridad acumulativa para Internet Explorer".

Esta actualización de seguridad incluye un factor atenuante que impide que los componentes y los controles creados con la biblioteca ATL vulnerable se aprovechen en Internet Explorer y también corrige varias vulnerabilidades no relacionadas. Las nuevas protecciones de defensa ofrecidas en MS09-034 incluyen actualizaciones para Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 Service Pack 1, Internet Explorer 7 e Internet Explorer 8. Estas protecciones de defensa supervisan e impiden que se aprovechen todas las vulnerabilidades ATL públicas y privadas que se conocen, incluidas las vulnerabilidades que podrían permitir pasar por alto la característica de seguridad de bits de interrupción de ActiveX. Estas protecciones se han diseñado para proteger a los clientes de los ataques basados en web.

Orientación para el usuario doméstico: Para ayudar a proteger a los clientes mientras los desarrolladores actualizan sus componentes y controles, Microsoft ha desarrollado una nueva tecnología de defensa. Esta nueva tecnología de defensa integrada en Internet Explorer con la nueva actualización ayuda a proteger a los clientes de ataques futuros con las vulnerabilidades de Microsoft Active Template Library descritas en este documento informativo y en el boletín de seguridad de Microsoft MS09-035. Los usuarios domésticos que se hayan suscrito a Actualizaciones automáticas recibirán la nueva actualización de Internet Explorer automáticamente y no tendrán que realizar ninguna acción. Los usuarios domésticos estarán automáticamente mejor protegidos de los ataques futuros contra las vulnerabilidades tratadas en este documento informativo sobre seguridad y en el boletín de seguridad de Microsoft MS09-035.

Factores atenuantes para los controles y componentes creados con la versión vulnerable de Active Template Library (ATL) de Microsoft:

•	De forma predeterminada, la mayoría de los controles ActiveX no se incluye en la lista de permitidos para los controles ActiveX en Internet Explorer 7 o Internet Explorer 8 que se ejecutan en el sistema operativo Windows Vista o versiones posteriores. Sólo los clientes que han aprobado de forma explícita los controles vulnerables mediante el uso de la característica ActiveX opcional están expuestos a los intentos para aprovechar esta vulnerabilidad. No obstante, si un cliente ha usado dichos controles ActiveX en una versión anterior de Internet Explorer y, a continuación, se actualiza a Internet Explorer 7 o Internet Explorer 8, los controles ActiveX están habilitados para funcionar en Internet Explorer 7 e Internet Explorer 8, incluso si el cliente no los ha aprobado explícitamente con la característica ActiveX opcional.
•	De forma predeterminada, Internet Explorer 8 ofrece protecciones mejoradas al habilitar protecciones de memoria DEP/NX para usuarios de Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 y Windows 7.
•	De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer. Consulte también la guía de administración de la configuración de seguridad mejorada de Internet Explorer.
•	De forma predeterminada, todas las versiones admitidas de Microsoft Outlook y Microsoft Outlook Express abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos ayuda a mitigar los ataques que podrían aprovechar esta vulnerabilidad al impedir que se usen controles ActiveX y secuencias de comandos ActiveX cuando se leen mensajes de correo electrónico HTML. Sin embargo, si un usuario hace clic en un vínculo de un mensaje de correo electrónico, podría quedar vulnerable por la posibilidad de un ataque basado en Web.
•	En el caso de un ataque basado en web, el intruso podría alojar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
•	Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Actualizaciones relacionadas con ATL:

Actualización publicada el 13 de octubre de 2009

•	El boletín de seguridad de Microsoft MS09-060, "Vulnerabilidades en Microsoft Active Template Library (ATL) podrían permitir la ejecución remota de código" proporciona compatibilidad con los componentes de Windows que están afectados por las vulnerabilidades descritas en este documento informativo.

Actualizaciones publicadas el 25 de agosto de 2009

•	Se publica Windows Live Messenger 14.0.8089 para corregir las vulnerabilidades en el cliente de Windows Live Messenger que están relacionadas con las vulnerabilidades de ATL descritas en este documento informativo.
•	Se ha agregado una sección Preguntas más frecuentes acerca de los componentes de Windows Live a este documento informativo para comunicar la eliminación de la característica "Adjuntar foto" de Windows Live Hotmail y para proporcionar detalles acerca del lanzamiento de Windows Live Messenger 14.0.8089.

Actualizaciones publicadas el 11 de agosto de 2009

•	El boletín de seguridad de Microsoft MS09-037, "Vulnerabilidades en Microsoft Active Template Library (ATL) podrían permitir la ejecución remota de código", proporciona compatibilidad con los componentes de Windows que están afectados por las vulnerabilidades descritas en este documento informativo.
•	El boletín de seguridad de Microsoft MS09-035, "Vulnerabilidades en Visual Studio Active Template Library podrían permitir la ejecución remota de código", se vuelve a publicar para ofrecer nuevas actualizaciones para los desarrolladores que usan Visual Studio para crear componentes y controles para aplicaciones móviles que usan ATL para dispositivos inteligentes.

Actualizaciones publicadas el 28 de julio de 2009

•	El boletín de seguridad de Microsoft MS09-035, "Vulnerabilidades en Visual Studio Active Template Library podrían permitir la ejecución remota de código", ofrece más detalles acerca de las vulnerabilidades específicos en ATL y proporciona los encabezados de ATL públicos actualizados para que los proveedores desarrollen componentes y controles actualizados. Nuestra investigación ha demostrado que hay componentes y controles de Microsoft y de terceros que están afectados por este problema y que se encuentran en todas las ediciones compatibles de Windows 2000 Service Pack 4, Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008. Los desarrolladores que usaban versiones vulnerables de ATL al crear controles o componentes deben consultar este boletín y adoptar medidas inmediatas si sus controles son vulnerables.
•	El boletín de seguridad de Microsoft MS09-034, "Actualización de seguridad acumulativa para Internet Explorer", incluye un factor atenuante que previene que los componentes y los controles generados con la ATL vulnerable estén expuestos en Internet Explorer, así como a corregir varias vulnerabilidades no relacionadas. Las nuevas protecciones de defensa ofrecidas en MS09-034 incluyen actualizaciones para Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 Service Pack 1, Internet Explorer 7 e Internet Explorer 8. Estas protecciones de defensa supervisan e impiden que se aprovechen todas las vulnerabilidades ATL públicas y privadas que se conocen, incluidas las vulnerabilidades que podrían permitir pasar por alto la característica de seguridad de bits de interrupción de ActiveX. Estas protecciones se han diseñado para proteger a los clientes de los ataques basados en web.
•	No tenemos constancia de ningún método o control incluido con Windows 7 que permitiera ataques a través de Internet Explorer.

Actualización publicada el 14 de julio de 2009

•

El boletín de seguridad de Microsoft MS09-032, "Actualización de seguridad acumulativa de bits de interrupción de ActiveX", proporcionó las medidas de seguridad de ActiveX (un bit de interrupción) que impedía que el control msvidctl se ejecutara en Internet Explorer. El ataque de msvidcntl aprovechaba una vulnerabilidad en una versión privada de ATL. En este caso específico, la vulnerabilidad permite que un atacante provoque daños en la memoria, lo que puede conllevar la ejecución remota de código. Los bits de interrupción publicados en junio para msvidctl (MS09-032) bloquearán los ataques públicos tal como se describe aquí.

Información general

Descripción general

Finalidad del documento informativo: Este documento informativo se ha publicado para ofrecer a los clientes una notificación inicial de la vulnerabilidad que se dio a conocer recientemente. Consulte las secciones Soluciones provisionales, Factores atenuantes y Acciones recomendadas de este documento informativo sobre seguridad.

Estado del documento informativo: Publicación del documento informativo.

Recomendación: Revisar y configurar las acciones sugeridas según corresponda.

Referencias	Identificación
Referencia CVE	CVE-2009-0901 CVE-2009-2493 CVE-2009-2495 CVE-2008-0015
Boletín de seguridad	MS09-035, "Vulnerabilidades en Visual Studio Active Template Library podrían permitir la ejecución remota de código" MS09-034, "Actualización de seguridad acumulativa para Internet Explorer" MS09-032, "Actualización de seguridad acumulativa de bits de interrupción de ActiveX"
Artículo de Microsoft Knowledge Base	MS09-035: Artículo 969706 de Microsoft Knowledge Base MS09-034: Artículo 972260 de Microsoft Knowledge Base MS09-032: Artículo 973346 de Microsoft Knowledge Base

Este documento informativo trata sobre el software que se indica a continuación.

Software afectado
Microsoft Windows
Controles y componentes creados con una versión vulnerable de Active Template Library
Servicios de Microsoft Live
Windows Live Messenger (versiones anteriores a 14.0.8089)
Característica "Adjuntar foto" de Windows Live Hotmail

Top of section

Preguntas frecuentes

¿Cuál es el alcance de este documento informativo?
Microsoft tiene constancia de vulnerabilidades que afectan a componentes y controles creados con las versiones públicas y privadas de Active Template Library (ATL). La finalidad del documento informativo es notificar a los usuarios las actualizaciones que pueden ayudarles a atenuar el riesgo de controles y componentes vulnerables, ofrecer orientación e instrucciones a los desarrolladores que han creado controles y componentes con la versión vulnerable de ATL y, a los profesionales de TI, indicarles cómo proteger e instalar los factores atenuantes en su entorno.

¿Microsoft publicará actualización de seguridad adicionales relacionadas con este documento informativo sobre seguridad en el futuro?
La investigación de Microsoft acerca de los encabezados privados y públicos de ATL está en curso y publicaremos actualizaciones de seguridad y orientación según resulte adecuado como parte del proceso de investigación.

¿La vulnerabilidad msvidctl (MS09-032) está relacionada con esta actualización de ATL?
Sí, el ataque de msvidctl aprovechaba una vulnerabilidad en una versión privada de ATL. En este caso específico, la vulnerabilidad permite que un atacante provoque daños en la memoria, lo que puede conllevar la ejecución remota de código. MS09-032, anteriormente publicado el 14 de julio, bloquea los ataques conocidos a msvidctl. Para obtener más información acerca de la vulnerabilidad en msvidctl, vea http://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspx.

¿La actualización de Internet Explorer (ms09-034) también protegerá de los ataques de msvidctl?
Sí, los factores atenuantes de Internet Explorer protegerán de las vulnerabilidades conocidas en las versiones públicas y privadas de ATL, incluidos los ataques de msvdictl.

¿Qué es ATL?
Active Template Library (ATL) es un conjunto de clases C++ basadas en plantillas que permiten crear objetos COM (modelo de objetos componentes) pequeños y rápidos. ATL tiene una compatibilidad especial con las características de COM clave, incluidas las implementaciones de existencias, interfaces duales, interfaces de enumerador COM estándar, puntos de conexión, interfaces de extracción y controles ActiveX. Para obtener más información, vea el siguiente de MSDN, ATL.

¿Cuál es la causa de esta amenaza en ATL?
En algunos casos, el problema se debe al modo en que se usa ATL y, en otros, se debe al propio código de ATL. En estos casos, las secuencias de datos se pueden tratar incorrectamente, lo que puede conllevar daños en la memoria, divulgación de la información y la ejecución de objetos sin tener en cuenta la directiva de seguridad. Para obtener más información acerca de las vulnerabilidades tratadas en ATL, vea MS09-035, "Vulnerabilidades en Visual Studio Active Template Library podrían permitir la ejecución remota de código".

¿Cuáles son las diferencias entre las versiones públicas y privadas de Active Template Library?
La versión privada de Active Template Library la usan los desarrolladores de Microsoft para crear controles y componentes. Microsoft ha actualizado todas las versiones de Active Template Library que usan nuestros desarrolladores.

La versión pública de Active Template Library se distribuye a los clientes a través de herramientas para desarrolladores, como Microsoft Visual Studio. Microsoft proporciona una versión actualizada de nuestra ATL pública a través del boletín de seguridad de Microsoft MS09-035.

¿Las vulnerabilidades de seguridad en ATL requerirán que Microsoft y los desarrolladores de terceros publiquen actualizaciones de seguridad?
Sí. Además de las actualizaciones de boletín descritas en este documento informativo, Microsoft está llevando a cabo una investigación exhaustiva de los controles y los componentes de Microsoft. Una vez terminada la investigación, Microsoft tomará las medidas apropiadas para proteger a sus clientes. Dichas medidas podrían incluir una actualización de seguridad en nuestra publicación mensual, o bien una actualización de seguridad fuera de banda, según las necesidades de los clientes.

Microsoft también proporciona orientación y está estableciendo contactos de forma activa con los principales desarrolladores de terceros para ayudarlos a identificar los controles y componentes vulnerables. Esto puede dar como resultado actualizaciones de seguridad de controles y componentes de terceros.

Top of section

Preguntas más frecuentes acerca de los servicios de Windows Live

¿Cómo se distribuirá la actualización de Windows Live Messenger?
Después de suscribirse al servicio de Windows Live Messenger, el mecanismo de implementación de cliente en dicho servicio pedirá a los usuarios de Windows Live Messenger 8.1, Windows Live Messenger 8.5 y Windows Live Messenger 14.0 en las versiones compatibles de Windows que acepten la actualización a Windows Live Messenger 14.0.8089. Asimismo, los usuarios que deseen descargar la actualización a Windows Live Messenger 14.0.8089 inmediatamente, pueden hacerlo con el Centro descarga de Windows Live. Si no se actualizan, los usuarios de versiones vulnerables de los clientes de Windows Live Messenger no podrán conectarse al servicio de Windows Live Messenger.

¿Por qué Microsoft publica la actualización a Windows Live Messenger a través del servicio de Windows Live Messenger y también proporciona descargas?
Microsoft publica actualmente actualizaciones del cliente de Windows Live Messenger mediante el servicio de Windows Live Messenger porque estos servicios en línea disponen de un mecanismo de implementación de cliente propio. No obstante, los vínculos del Centro de descarga de Microsoft también están disponibles para clientes de Windows Live Messenger específicos. Los usuarios que deseen descargar las actualizaciones inmediatamente pueden hacerlo en el Centro de descarga de Windows Live.

Si se trata de una actualización, ¿cómo puedo detectar si tengo una versión vulnerable de Windows Live Messenger?
Cuando intente iniciar sesión en el servicio de Windows Live Messenger, el mecanismo de implementación de cliente determinará automáticamente su versión del cliente y plataforma actuales y, si es necesario, recomendará la actualización adecuada. Además, puede comprobar la versión del cliente de Windows Live Messenger si hace clic en Ayuda y, a continuación, en Acerca de.

¿Qué sucede si no actualizo a la versión más actual de Windows Live Messenger?
Si no actualiza a una versión no afectada del cliente de Windows Live Messenger, según la plataforma, se le pedirá que se actualice cada vez que intente iniciar sesión. Si no acepta la actualización, no tendrá acceso al servicio de Windows Live Messenger.

¿Están afectadas por esta vulnerabilidad otras aplicaciones de colaboración en tiempo real de Microsoft como Windows Messenger u Office Communicator?
No. Otras aplicaciones de mensajería no están afectadas ya que no contienen el componente vulnerable.

¿Cuándo quitó Microsoft la característica "Adjuntar foto" de Windows Live Hotmail? ¿Coincidió con el lanzamiento de otra característica nueva?
Microsoft tomó recientemente la decisión de quitar la característica a corto plazo para corregir el problema. La eliminación temporal de esta característica no coincidió con el lanzamiento de otra característica.

¿Cuál es la última previsión para que la característica "Adjuntar foto" se restaure por completo para todos los usuarios de Windows Live Hotmail?
Microsoft trabaja activamente para corregir el problema. Mientras tanto, todavía puede agregar imágenes como datos adjuntos a sus mensajes de Hotmail si hace clic en Adjuntar y, a continuación, selecciona la imagen que desea incluir.

Top of section

Preguntas más frecuentes de los desarrolladores acerca de la actualización de Visual Studio

¿Para qué puede utilizar un atacante esta vulnerabilidad?
En el caso de los controles y componentes creados con ATL, un uso no seguro de determinadas macros podría permitir la ejecución de objetos arbitrarios que podrían omitir la directiva de seguridad de ActiveX relacionada (es decir, los bits de interrupción) desde Internet Explorer. Además, los componentes y los controles creados con la versión vulnerable de ATL pueden ser vulnerables a las amenazas de ejecución remota de código o divulgación de información. Si un usuario inicia sesión con derechos de usuario administrativos y tiene un control vulnerable en su sistema, un atacante podría tomar el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Soy un desarrollador de aplicaciones de terceros y uso ATL en mi componente o control. ¿Es mi componente o control vulnerable y, en caso afirmativo, como lo actualizo?
Los componentes y los controles pueden estar afectados por este problema si se cumplen determinadas condiciones durante la creación del componente o del control. MS09-035 contiene información adicional, ejemplos y orientación que los desarrolladores de terceros pueden usar para detectar y corregir componentes y controles vulnerables.

¿Cuál es la finalidad de la actualización de seguridad de Visual Studio?
Estas actualizaciones corrigen las vulnerabilidades de Microsoft Active Template Library (ATL) que podrían permitir que un usuario remoto no autenticado ejecutara código arbitrario en un sistema afectado. En algunos casos, estas vulnerabilidades se deben a la forma en que se usa ATL y, en otros, al propio código de ATL. Como estas vulnerabilidades afectan a ATL, los componentes o los controles que se han desarrollado con ATL pueden exponer a los clientes que usan los controles y componentes afectados a escenarios de ejecución remota de código.

La actualización de seguridad para Visual Studio actualiza la versión vulnerable de ATL que usa Visual Studio. Esto permite a los usuarios de Visual Studio modificar y regenerar sus controles y componentes con una versión actualizada de ATL.

Nuestra investigación ha demostrado que los componentes y los controles tanto de Microsoft como de terceros están afectados por este problema. Por lo tanto, todos los proveedores afectados deben modificar, y regenerar, sus componentes y controles con la biblioteca ATL proporcionada en el boletín de seguridad de Microsoft MS09-035.

Top of section

Preguntas más frecuentes de los profesionales de TI acerca de lo que pueden hacer para protegerse

¿La actualización de IE MS09-034 me protege de todos los componentes y controles que se crearon con la versión vulnerable de ATL?
Para ayudar a proteger a los clientes mientras los desarrolladores actualizan sus componentes y controles, Microsoft ha desarrollado una nueva tecnología de defensa. Esta nueva tecnología de defensa integrada en Internet Explorer ayuda a proteger a los clientes de ataques futuros con las vulnerabilidades de Microsoft Active Template Library descritas en este documento informativo y en el boletín de seguridad de Microsoft MS09-035. El boletín de seguridad de Microsoft MS09-034, "Actualización de seguridad acumulativa para Internet Explorer", incluye un factor atenuante que impide que los componentes y los controles creados con la biblioteca ATL vulnerable sean vulnerables en Internet Explorer, así como la corrección de varias vulnerabilidades relacionadas.

Microsoft sigue investigando todos los controles y los componentes de Microsoft y ayuda a desarrolladores de terceros a evaluar sus controles y componentes.

¿Qué acciones puede realizar un profesional de TI para atenuar la exposición a este problema?
Microsoft recomienda que los profesionales de TI implementen inmediatamente la actualización de seguridad de Internet Explorer que se ofrece en el boletín de seguridad de Microsoft MS09-034, "Actualización de seguridad acumulativa para Internet Explorer".

Top of section

Preguntas más frecuentes acerca de lo que pueden hacer los clientes para protegerse

¿Qué acciones pueden realizar los clientes para atenuar la exposición a este problema?
Para ayudar a proteger a los clientes mientras los desarrolladores actualizan sus componentes y controles, Microsoft ha desarrollado una nueva tecnología de defensa. Esta nueva tecnología de defensa integrada en Internet Explorer ayuda a proteger a los clientes de ataques futuros con las vulnerabilidades de Microsoft Active Template Library descritas en este documento informativo y en el boletín de seguridad de Microsoft MS09-035. Microsoft recomienda que los clientes activen Actualización automática e implementen inmediatamente la actualización de seguridad de Internet Explorer que se ofrece en el boletín de seguridad de Microsoft MS09-034, "Actualización de seguridad acumulativa para Internet Explorer". Los usuarios domésticos que reciben actualizaciones automáticas recibirán los factores atenuantes que se proporcionan en la actualización acumulativa para IE y otras actualizaciones de seguridad relacionadas con este problema, por lo que no deben realizar ninguna acción.

Microsoft también recomienda a los usuarios domésticos que se actualicen a Internet Explorer 8 para beneficiarse de la seguridad ampliada y de las protecciones.

Top of section

Preguntas más frecuentes acerca de los factores atenuantes en la actualización de Internet Explorer

¿Cuál es la causa de esta amenaza que podría permitir la omisión de la seguridad de ActiveX?
Los controles ActiveX creados con métodos ATL vulnerables pueden no validar correctamente la información. Esto podría tener como resultado que un control ActiveX permita que se dañe la memoria o que un atacante aproveche un control ActivExchange de confianza para cargar un control ActiveX que no sea de confianza cuya ejecución en Internet Explorer se había bloqueado anteriormente.

Las nuevas protecciones de defensa ofrecidas en MS09-034 incluyen actualizaciones para Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 Service Pack 1, Internet Explorer 7 e Internet Explorer 8 que supervisan e impiden que se aprovechen todas las vulnerabilidades ATL públicas y privadas que se conocen, incluidas las vulnerabilidades que podrían permitir pasar por alto la característica de seguridad de bits de interrupción de IE. Estas protecciones se han diseñado para proteger a los clientes de los ataques basados en web.

¿Para qué puede utilizar un atacante esta función?
Un atacante que aprovechara esta vulnerabilidad en Windows Vista o Windows 2008 sólo obtendría derechos como un usuario restringido debido al modo de protección en Internet Explorer. En otros sistemas Windows, el atacante podría obtener los mismos derechos que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cómo podría usar un atacante esta función?
Un atacante podría hospedar un sitio web diseñado para hospedar un control ActiveX especialmente diseñado y convencer a un usuario para que lo visitara. También puede tratarse de sitios web vulnerables y sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles a hacer clic en un vínculo de un mensaje de correo electrónico o en una petición de Instant Messenger que lleven a los usuarios al sitio web del atacante.

¿Qué es un bit de interrupción?
Una característica de seguridad en Microsoft Internet Explorer impide que el motor de proceso HTML de Internet Explorer cargue un control ActiveX. Esto se realiza mediante la creación de una configuración del Registro y se conoce como "establecimiento del bit de interrupción". Después de establecer el bit de interrupción, el control no podrá cargarse, aunque esté instalado correctamente. El establecimiento del bit de interrupción garantiza que aunque un componente vulnerable consiga entrar o volver a entrar en un sistema permanecerá inactivo y no provocará ningún daño.

Para obtener más información acerca de los bits de interrupción, consulte el artículo 240797 de Microsoft Knowledge Base: Cómo impedir la ejecución de un control ActiveX en Internet Explorer. Para obtener información más detallada acerca de los bits de interrupción y su funcionamiento en Internet Explorer, vea la siguiente publicación del blog acerca de la investigación de seguridad y defensa.

¿Cómo funciona esta actualización?
La actualización refuerza el mecanismo de seguridad de ActiveX al proporcionar validación cuando los controles ActiveX usan métodos que no son seguros con encabezados ATL vulnerables en configuraciones específicas.

¿Esta actualización cambia la funcionalidad?
Sí. Esta actualización ya no permite que determinados conjuntos de métodos ATL se ejecuten en Internet Explorer. La actualización reduce el riesgo de que se omita la seguridad activa al impedir que los controles ActiveX de confianza carguen controles que no son de confianza.

¿Esta actualización contiene cambios de software adicionales?
Sí. Esta actualización también contiene correcciones de seguridad adicionales y otras actualizaciones de Internet Explorer como parte de la actualización acumulativa para Internet Explorer.

¿Esta actualización corrige todos los escenarios de controles ActiveX no seguros?
No. Esta actualización corrige específicamente los controles ActiveX que no son seguros o no son de confianza que puedan ser vulnerables a los problemas de ATL descritos en este documento informativo para proteger a los clientes de los ataques al explorar Internet.

Microsoft sigue investigando este problema. Una vez terminada la investigación, Microsoft tomará las medidas apropiadas para proteger a sus clientes. Dichas medidas podrían incluir una actualización de seguridad en nuestra publicación mensual, o bien una actualización de seguridad fuera de banda, según las necesidades de los clientes.

¿Cómo me protege el modo protegido en Internet Explorer 7 e Internet Explorer 8 en Windows Vista y posterior contra esta vulnerabilidad?
Internet Explorer 7 e Internet Explorer 8 en Windows Vista y sistemas operativos posteriores se ejecutan en modo protegido de forma predeterminada en la zona de seguridad Internet. El modo protegido reduce considerablemente la capacidad de un atacante para escribir, alterar o destruir datos en el equipo del usuario o para instalar código malintencionado. Este proceso se lleva a cabo mediante el uso de mecanismos de integridad de Windows Vista y posterior, que limitan el acceso a procesos, archivos y claves del Registro con niveles de integridad mayores.

¿Qué es la prevención de ejecución de datos (DEP)?
La prevención de ejecución de datos (DEP) está habilitada de forma predeterminada en Internet Explorer 8. DEP se ha diseñado para ayudar a frustrar los ataques al impedir que el código se ejecute en la memoria que se ha marcado como no ejecutable. Para obtener más información acerca de DEP en Internet Explorer, vea la siguiente publicación: http://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspx.

Top of section

Acciones recomendadas

•	Consulte el artículo de Microsoft Knowledge Base asociado a este documento informativo Los clientes interesados en obtener más información acerca de los problemas de ATL deben consultar el artículo 973882 de Microsoft Knowledge Base.
•	Aplique las actualizaciones asociadas a los boletines de seguridad MS09-034 y MS09-035 Los clientes con sistemas afectados pueden descargar las actualizaciones del artículo 969706 de Microsoft Knowledge Base y del artículo 972260 de Microsoft Knowledge Base. La actualización de Internet Explorer proporciona nuevos factores atenuantes que impiden la ejecución de controles ActiveX vulnerables en Internet Explorer 7 y 8. La actualización de Visual Studio permite a los desarrolladores crear controles ActiveX que no están afectados por estas vulnerabilidades.
•	Proteja su PC Seguimos recomendando a los clientes que apliquen los consejos de la sección Proteja su PC; a saber: habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. La información completa al respecto puede consultarse en el sitio web Proteja su equipo.
•	Para obtener más información acerca de la seguridad en Internet, los clientes deben visitar Central de seguridad de Microsoft.
•	Mantenga actualizado Windows Todos los usuarios de Windows deben aplicar las actualizaciones de seguridad más recientes para que sus equipos cuenten con el máximo nivel de protección posible. Si tiene dudas acerca de si su software está actualizado, visite Windows Update, explore las actualizaciones disponibles para el equipo e instale las actualizaciones importantes que se le ofrezcan. Si tiene la función Actualizaciones automáticas activada, recibirá las actualizaciones en cuanto estén disponibles; asegúrese de instalarlas.

Soluciones provisionales

Microsoft ha probado las siguientes soluciones provisionales. Aunque estas soluciones provisionales no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución provisional reduce la funcionalidad, se identifica en la siguiente sección.

Configure las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se pregunte antes de ejecutar controles ActiveX y secuencias de comandos ActiveX en estas zonas

Puede contribuir en la protección de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para que se pregunte al usuario antes de ejecutar controles y secuencias de comandos ActiveX. Para ello, establezca la seguridad del explorador en Alta.

Para aumentar el nivel de seguridad en Microsoft Internet Explorer, siga estos pasos:

1.	En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
2.	En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.
3.	En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad Alta. De este modo, se establece el nivel de seguridad para todos los sitios Web que visite en Alta.

Nota Si no hay visible un control deslizante, haga clic en Nivel predeterminado y, a continuación, mueva el control deslizante hacia Alto.

Nota Al establecer el nivel en Alto, es posible que algunos sitios Web no funcionen correctamente. Si tiene dificultades para utilizar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de utilizar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

Consecuencias de la solución provisional: Preguntar antes de ejecutar los controles ActiveX o las secuencias de comandos ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o de una intranet utilizan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar controles ActiveX o secuencias de comandos ActiveX es una configuración global que afecta a todos los sitios de Internet e intranet. Cuando habilite esta solución, se le preguntará para que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los controles ActiveX o las secuencias de comandos ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer

Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles y secuencias de comandos ActiveX en las zonas Internet e Intranet local, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir utilizando como siempre los sitios web de confianza al tiempo que colabora para protegerse de este ataque en los sitios en los que no confía. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

Para ello, siga estos pasos:

1.	En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
2.	En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
3.	Si desea agregar sitios que no requieren un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
4.	En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
5.	Repita estos pasos para cada sitio que desee agregar a la zona.
6.	Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

Nota Agregue todos los sitios de confianza para los que tenga la certeza de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay dos sitios que es aconsejable agregar: *.windowsupdate.microsoft.com y *.update.microsoft.com. Se trata de los sitios que alojarán la actualización y requieren de un control ActiveX para instalarla.

Top of section

Configure Internet Explorer de forma que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local

Puede contribuir a la protección contra esta vulnerabilidad si cambia la configuración de Internet Explorer para que se pregunte al usuario antes de ejecutar o deshabilitar secuencias de comandos ActiveX en la zona de seguridad de Internet e Intranet local. Para ello, siga estos pasos:

1.	En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
2.	Haga clic en la ficha Seguridad.
3.	Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
4.	En Configuración, bajo la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos o Desactivar y, a continuación, haga clic en Aceptar.
5.	Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
6.	En Configuración, bajo la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos o Desactivar y, a continuación, haga clic en Aceptar.
7.	Haga clic en Aceptar dos veces para volver a Internet Explorer.

Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas de seguridad de Internet e Intranet local, es posible que algunos sitios Web no funcionen correctamente. Si tiene dificultades para utilizar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de utilizar, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

Consecuencias de la solución provisional: Preguntar antes de ejecutar los controles ActiveX conlleva efectos secundarios. Muchos sitios web de Internet o una intranet utilizan secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX (Pedir datos) es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, se le preguntará para que dé su conformidad con bastante frecuencia. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar las secuencias de comandos ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos de la sección "Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer".

Agregue sitios en los que confía a la zona de sitios de confianza de Internet Explorer

Para ello, siga estos pasos:

1.	En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.
2.	En el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.
3.	Si desea agregar sitios que no requieren un canal cifrado, haga clic para desactivar la casilla de verificación Requerir comprobación del servidor (https:) para todos los sitios de esta zona.
4.	En el cuadro Agregar este sitio web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
5.	Repita estos pasos para cada sitio que desee agregar a la zona.
6.	Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

Top of section

Recursos:

•	Puede proporcionar comentarios si rellena el formulario en Ayuda y soporte técnico de Microsoft: Póngase en contacto con nosotros.
•	Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico del departamento de soporte técnico de seguridad. Para obtener más información acerca de las opciones de asistencia disponibles, visite Ayuda y soporte técnico de Microsoft.
•	Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite Soporte técnico internacional.
•	Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft.

Renuncia:

La información proporcionada en este documento informativo se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones:

•	V1.0 (28 de julio de 2009): Publicación del documento informativo.
•	V2.0 (11 de agosto de 2009): Documento informativo revisado para agregar entradas en la sección Actualizaciones relacionadas con ATL para comunicar la publicación del boletín de seguridad de Microsoft MS09-037, "Vulnerabilidades en Microsoft Active Template Library (ATL) podrían permitir la ejecución remota de código", y la nueva publicación del boletín de seguridad de Microsoft MS09-035, "Vulnerabilidades en Visual Studio Active Template Library podrían permitir la ejecución remota de código", para ofrecer actualizaciones adicionales.
•	V3.0 (25 de agosto de 2009): Documento informativo revisado para proporcionar detalles acerca del lanzamiento de Windows Live Messenger 14.0.8089 y para comunicar la eliminación de la característica "Adjuntar foto" de Windows Live Hotmail.
•	V4.0 (13 de octubre de 2009): Documento informativo revisado para agregar una entrada en la sección Actualizaciones relacionadas con ATL para comunicar la publicación del boletín de seguridad de Microsoft MS09-060, "Vulnerabilidades en los controles ActiveX de Microsoft Active Template Library (ATL) podrían permitir la ejecución remota de código en Microsoft Office."

Principio de la página