Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified

Boletín de seguridad de Microsoft MS07-010

Una vulnerabilidad en el motor de protección contra malware de Microsoft podría permitir la ejecución remota de código (932135)

Publicado: febrero 13, aaaa

Versión: 1.0

Resumen

Quién debería leer este documento: Los clientes que usan el motor de protección contra malware de Microsoft

Consecuencia de la vulnerabilidad: Ejecución remota de código

Nivel de gravedad máxima: Crítica

Recomendación: Los clientes deben asegurarse inmediatamente de que disponen de la última actualización del motor de protección contra malware de Microsoft

Actualizaciones de seguridad reemplazadas: Ninguna

Advertencias: Ninguna

Ubicaciones de descarga de la actualización de seguridad y software probado:

Software afectado:

Windows Live OneCare

Microsoft Antigen para Exchange Server 9.x

Microsoft Antigen para SMTP Server 9.x

Microsoft Windows Defender

Microsoft Windows Defender x64 Edition

Microsoft Windows Defender en Windows Vista

Microsoft Forefront Security para Exchange Server 10

Microsoft Forefront Security para SharePoint Server 10

Componentes afectados:

Motor de protección contra malware de Microsoft

Los programas de esta lista han sido probados para determinar si las versiones están afectadas. Por lo que se refiere a otras versiones, quizá ya no sean compatibles con las actualizaciones de seguridad o no se vean afectadas. Para determinar el ciclo de vida del soporte técnico de su producto y versión, visite el sitio web Ciclo de vida del soporte técnico de Microsoft.

Información general

Resumen ejecutivo

Resumen ejecutivo:

Esta actualización resuelve una vulnerabilidad descubierta recientemente, de la que se ha informado de forma privada, en el motor de protección contra malware de Microsoft. La vulnerabilidad se documenta en este boletín, en el apartado "Detalles de la vulnerabilidad".

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

Recomendamos que los clientes se aseguren inmediatamente de que disponen de la última actualización del motor de protección contra malware de Microsoft.

Gravedad e identificadores de vulnerabilidad:

Identificadores de vulnerabilidadConsecuencia de la vulnerabilidadWindows Live OneCareMicrosoft Antigen para Exchange Server 9.x Microsoft Antigen para SMTP Server 9.xMicrosoft Windows DefenderMicrosoft Windows Defender x64Microsoft Windows Defender en Windows VistaMicrosoft Forefront Security para Exchange Server 10Microsoft Forefront Security para SharePoint Server 10

Vulnerabilidad del motor de protección contra malware de Microsoft (CVE-2006-5270)

Ejecución remota de código

Crítica

Crítica

Crítica

Crítica

Crítica

Crítica

Crítica

Crítica

Esta clasificación está basada en los tipos de sistemas afectados por la vulnerabilidad, sus patrones típicos de implementación y el efecto que podría tener un ataque en el que se aprovechara la vulnerabilidad.

Preguntas más frecuentes (P+F) relacionadas con esta actualización de seguridad

¿Los productos de Microsoft que usan el motor de protección contra malware de Microsoft se actualizan automáticamente?

La tabla siguiente proporciona los métodos de implementación correspondientes a esta actualización de seguridad.

ProductoActualizado automáticamenteNúmero de versión de motor

Windows Live OneCare

Sí (Windows Live OneCare AutoUpdate)

1.1.2101.0

Microsoft Antigen para Exchange Server 9.x

Sí (servicio de actualización de seguridad de Forefront Server)

0.1.8.53

Microsoft Antigen para SMTP Server 9.x

Sí (servicio de actualización de seguridad de Forefront Server)

0.1.8.53

Microsoft Windows Defender

Sí (Microsoft Update)

1.1.2101.0

Microsoft Windows Defender en Windows Vista

Sí (Microsoft Update)

1.1.2101.0

Microsoft Windows Defender x64 Edition

Sí (Microsoft Update)

1.1.2101.0

Microsoft Forefront Security para Exchange Server 10

Sí (servicio de actualización de seguridad de Forefront Server)

0.1.8.53

Microsoft Forefront Security para SharePoint Server 10

Sí (servicio de actualización de seguridad de Forefront Server)

0.1.8.53

Nota Si su número de versión de motor es igual o mayor que la indicada anteriormente en Número de versión de motor, no está afectado por esta vulnerabilidad y no debe realizar ninguna acción.

Nota Los usuarios que han deshabilitado las actualizaciones automáticas o Microsoft Update para su software cliente de Microsoft Antivirus deberán volver a habilitar las actualizaciones automáticas o actualizar el software cliente de Microsoft Antivirus manualmente para recibir el motor de protección contra malware de Microsoft actualizado. Para actualizar el software cliente de Microsoft Antivirus manualmente, los usuarios deben seguir la documentación del producto incluida con el software afectado.

Nota Para Microsoft Antigen y Microsoft Forefront, el motor de Microsoft se actualiza automáticamente. Para sistemas en los que se ha modificado la instalación predeterminada, las actualizaciones de motor manuales se pueden realizar mediante la herramienta del administrador. Si el motor se ha deshabilitado, se puede volver a habilitar y, a continuación, actualizar inmediatamente si se hace clic en "update now" (actualizar ahora). Los clientes que actualicen motores que usan Microsoft Antigen Enterprise Manager deben seleccionar el trabajo de redistribución de actualización de motor y hacer clic en Run Now (Ejecutar ahora).

Detalles de la vulnerabilidad

Vulnerabilidad del motor de protección contra malware de Microsoft (CVE-2006-5270):

Existe una vulnerabilidad de ejecución remota de código en el motor de protección contra malware de Microsoft debida al modo en que analiza los archivos PDF (Portable Document Format). Un atacante podría aprovechar la vulnerabilidad mediante la creación de un archivo PDF especialmente diseñado que podría permitir la ejecución remota de código cuando el equipo de destino reciba el archivo PDF y el motor de protección contra malware de Microsoft lo analice.

Factores atenuantes para la vulnerabilidad del motor de protección contra malware de Microsoft (CVE-2006-5270):

No se han identificado factores atenuantes para esta vulnerabilidad.

Soluciones provisionales para la vulnerabilidad del motor de protección contra malware de Microsoft (CVE-2006-5270):

Microsoft Forefront Security Server para Exchange, Microsoft Forefront Security Server para SharePoint y Microsoft Antigen admiten varios motores además del motor de protección contra malware de Microsoft en un solo sistema. Si hay disponibles varios motores en un sistema afectado, los administradores pueden deshabilitar el motor de protección contra malware de Microsoft como solución provisional, hasta que se pueda actualizar dicho motor. Antes de deshabilitar el motor de protección contra malware de Microsoft, los administradores se deben asegurar de que tienen instaladas las firmas de virus más recientes de cualquier motor antivirus de terceros.

No se han identificado soluciones para Windows Live OneCare y Microsoft Windows Defender.

Preguntas más frecuentes sobre la vulnerabilidad del motor de protección contra malware de Microsoft (CVE-2006-5270):

¿Cuál es el alcance de esta vulnerabilidad?
Existe una vulnerabilidad de ejecución remota de código en el motor de protección contra malware de Microsoft debida al modo en que analiza los archivos PDF (Portable Document Format). Un atacante podría aprovechar la vulnerabilidad mediante la creación de un archivo PDF especialmente diseñado que podría permitir la ejecución remota de código cuando el equipo de destino reciba el archivo PDF y el motor de protección contra malware de Microsoft lo analice.

¿Cuál es la causa de esta vulnerabilidad?
Un desbordamiento de entero en el motor de protección contra malware de Microsoft al procesar un archivo PDF especialmente diseñado.

¿Qué es el motor de protección contra malware de Microsoft?
El motor de protección contra malware de Microsoft, mpengine.dll, proporciona funciones de análisis, detección y limpieza para los siguientes clientes antivirus y contra spyware: Windows Live OneCare, Microsoft Forefront Security, Microsoft Antigen y Windows Defender.

¿Para qué puede utilizar un atacante esta vulnerabilidad?
Un atacante que consiga aprovechar esta vulnerabilidad podría realizar la ejecución remota de código y tomar el control completo del sistema afectado.

¿Quién podría aprovechar esta vulnerabilidad?
Cualquier usuario anónimo que pudiera enviar un archivo PDF especialmente diseñado al sistema afectado podría aprovechar esta vulnerabilidad.

¿Cómo podría aprovechar un atacante la vulnerabilidad?
Un atacante podría intentar aprovechar la vulnerabilidad creando un archivo adjunto PDF especialmente diseñado y obligando a un sistema afectado a procesarlo. Cuando el motor de protección contra malware de Microsoft en el equipo de destino analiza automáticamente el archivo PDF, éste puede provocar que el sistema afectado ejecute código arbitrario.

Finalmente, también podría crear un archivo PDF especialmente diseñado que estuviera disponible en un sitio web. El atacante no podría obligar a los usuarios a visitar un sitio web determinado. Por lo tanto, tendría que atraerlos al sitio web; para ello debería, por ejemplo, incitarles a hacer clic en un vínculo que les llevara al sitio web del atacante.

¿Qué sistemas están más expuestos a esta vulnerabilidad?
Cualquier cliente de Microsoft Antivirus que use el motor de protección contra malware de Microsoft y cuyos filtros estén configurados para permitir el procesamiento de archivos PDF está expuesto.

¿Cómo funciona esta actualización?
La actualización elimina la vulnerabilidad de desbordamiento de entero al modificar la forma en que el motor de protección contra malware de Microsoft valida la longitud de los datos del archivo PDF antes de pasarlos al búfer asignado.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable. En el momento de emitir este boletín de seguridad, Microsoft no había recibido información alguna que indicara que esta vulnerabilidad se hubiera divulgado. Este boletín de seguridad trata la vulnerabilidad, así como problemas adicionales descubiertos por medio de investigaciones internas.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba utilizando esta vulnerabilidad?
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

Información sobre la actualización de seguridad

Software afectado:

Para obtener información sobre la actualización de seguridad específica para su software afectado, haga clic en el vínculo apropiado:

Windows Live OneCare

Requisitos previos
Esta actualización de seguridad requiere Windows Live OneCare.

Requisito de reinicio

Esta actualización no requiere reinicio. El programa instalador detiene los servicios necesarios, aplica la actualización y los reinicia. Sin embargo, si los servicios necesarios no pueden detenerse por algún motivo, o si algún archivo necesario está en uso, será preciso reiniciar el sistema. Si se presenta este comportamiento, aparecerá un mensaje que aconseja reiniciar el sistema.

Para obtener más información acerca de los motivos por los que se le puede pedir que reinicie el sistema, consulte el artículo 887012 de Microsoft Knowledge Base.

Información sobre la eliminación

Esta actualización no se puede desinstalar cuando se usa Windows Live OneCare en Windows 2000 o Windows XP.

Esta actualización se puede desinstalar al usar Windows Live OneCare en Windows Vista.

Comprobación de la instalación de la actualización

Para comprobar que la actualización se ha aplicado a un sistema afectado, realice los pasos siguientes:

1.

Haga clic en Ayuda y, a continuación, en Acerca de Windows Live OneCare.

2.

Compruebe el número de versión. Si la versión de definiciones de virus y spyware es 1.1.2101.0 o posterior, la actualización se ha instalado correctamente.

Microsoft Antigen para Exchange 9.x

Requisitos previos
Esta actualización de seguridad requiere Microsoft Antigen para Exchange Server 9.x.

Requisito de reinicio

Esta actualización es automática y no requiere reinicio.

El servicio de actualizaciones de seguridad de Forefront Server actualiza automáticamente el motor de Microsoft Antivirus en Microsoft Antigen para Exchange Server. Sin embargo, en equipos con Microsoft Antigen en los que los usuarios han deshabilitado el motor de Microsoft Antivirus, tendrán que volver a habilitar el motor mediante la herramienta de administrador. Después de haber habilitado el motor, se debe actualizar haciendo clic en "update now" (actualizar ahora).

Información sobre la eliminación

Esta actualización no se puede desinstalar.

Comprobación de la instalación de la actualización

Para comprobar que la actualización se ha aplicado a un sistema afectado, realice los pasos siguientes:

1.

En Antigen Administrator, haga clic en Scanner Updates (Actualizaciones de detector) y, a continuación, en Microsoft Antivirus.

2.

Compruebe el número de versión. Si el número de compilación del motor de Microsoft Antivirus es 0.1.8.53 o posterior, la actualización se ha instalado correctamente.

Para obtener instrucciones acerca de la configuración de los motores de Microsoft Antigen, visite el siguiente sitio web de Microsoft.

Microsoft Antigen para SMTP 9.x

Requisitos previos
Esta actualización de seguridad requiere Microsoft Antigen para SMTP Server 9.x.

Requisito de reinicio

Esta actualización es automática y no requiere reinicio.

El servicio de actualizaciones de seguridad de Forefront Server actualiza automáticamente el motor de Microsoft Antivirus en Microsoft Antigen para SMTP Server. Sin embargo, en equipos con Microsoft Antigen en los que los usuarios han deshabilitado el motor de Microsoft Antivirus, tendrán que volver a habilitar el motor mediante la herramienta de administrador. Después de haber habilitado el motor, se debe actualizar haciendo clic en "update now" (actualizar ahora).

Información sobre la eliminación

Esta actualización no se puede desinstalar.

Comprobación de la instalación de la actualización

Para comprobar que la actualización se ha aplicado a un sistema afectado, realice los pasos siguientes:

1.

En Antigen Administrator, haga clic en Scanner Updates (Actualizaciones de detector) y, a continuación, en Microsoft Antivirus.

2.

Compruebe el número de versión. Si el número de compilación del motor de Microsoft Antivirus es 0.1.8.53 o posterior, la actualización se ha instalado correctamente.

Para obtener instrucciones acerca de la configuración de los motores de Microsoft Antigen, visite el siguiente sitio web de Microsoft.

Microsoft Windows Defender y Windows Defender en Windows Vista

Requisitos previos
Esta actualización de seguridad requiere Windows Defender.

Requisito de reinicio

Esta actualización no requiere reinicio. El programa instalador detiene los servicios necesarios, aplica la actualización y los reinicia. Sin embargo, si los servicios necesarios no pueden detenerse por algún motivo, o si algún archivo necesario está en uso, será preciso reiniciar el sistema. Si se presenta este comportamiento, aparecerá un mensaje que aconseja reiniciar el sistema.

Para obtener más información acerca de los motivos por los que se le puede pedir que reinicie el sistema, consulte el artículo 887012 de Microsoft Knowledge Base.

Información sobre la eliminación

Esta actualización no se puede desinstalar de Windows XP o Windows Server 2003.

Esta actualización se puede desinstalar de Windows Vista.

Comprobación de la instalación de la actualización

Para comprobar que la actualización se ha aplicado a un sistema afectado, realice los pasos siguientes:

1.

Haga clic en Ayuda y, a continuación, en Acerca de Windows Defender.

2.

Compruebe el número de versión. Si el número de compilación del motor de Microsoft Antivirus es 1.1.2101.0 o posterior, la actualización se ha instalado correctamente.

3.

4.

Forefront Security para Exchange Server 10

Requisitos previos
Esta actualización de seguridad requiere Forefront Security para Exchange Server 10.

Requisito de reinicio

Esta actualización es automática y no requiere reinicio.

El servicio de actualizaciones de seguridad de Forefront Server actualiza automáticamente el motor de antimalware de Microsoft en Forefront Security para Exchange Server. Sin embargo, en equipos con Forefront Security para Exchange Server en los que los usuarios han deshabilitado el motor de antimalware de Microsoft, tendrán que volver a habilitar el motor mediante la herramienta de administrador. Después de haber habilitado el motor, se debe actualizar haciendo clic en "update now" (actualizar ahora).

Información sobre la eliminación

Esta actualización no se puede desinstalar.

Comprobación de la instalación de la actualización

Para comprobar que la actualización se ha aplicado a un sistema afectado, realice los pasos siguientes:

1.

En Forefront Administrator, haga clic en Scanner Updates (Actualizaciones de detector) y, a continuación, en Antimalware Engine (Motor de antimalware).

2.

Compruebe el número de versión. Si el número de compilación del motor de antimalware de Microsoft es 0.1.8.53 o posterior, la actualización se ha instalado correctamente.

Para obtener instrucciones acerca de la configuración de los motores de Forefront Server Security para Exchange Server, visite el siguiente sitio web de Microsoft.

Forefront Security para SharePoint Server 10

Requisitos previos
Esta actualización de seguridad requiere Forefront Security para SharePoint Server 10.

Requisito de reinicio

Esta actualización es automática y no requiere reinicio.

El servicio de actualizaciones de seguridad de Forefront Server actualiza automáticamente el motor de antimalware de Microsoft en Forefront Security para SharePoint Server. Sin embargo, en equipos con Forefront Security para SharePoint Server en los que los usuarios han deshabilitado el motor de antimalware de Microsoft, tendrán que volver a habilitar el motor mediante la herramienta de administrador. Después de haber habilitado el motor, se debe actualizar haciendo clic en "update now" (actualizar ahora).

Información sobre la eliminación

Esta actualización no se puede desinstalar.

Comprobación de la instalación de la actualización

Para comprobar que la actualización se ha aplicado a un sistema afectado, realice los pasos siguientes:

1.

En Forefront Administrator, haga clic en Scanner Updates (Actualizaciones de detector) y, a continuación, en Microsoft Antimalware Engine (Motor de antimalware de Microsoft).

2.

Compruebe el número de versión. Si el número de compilación del motor de antimalware de Microsoft es 0.1.8.53 o posterior, la actualización se ha instalado correctamente.

Para obtener instrucciones acerca de la configuración de los motores de Forefront Server Security para SharePoint Server, visite el siguiente sitio web de Microsoft.

Agradecimientos

Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

Neel Mehta y Alex Wheeler, de ISS X-Force, por informar de la vulnerabilidad del motor de Microsoft Antivirus Engine (CVE-2006-5270).

Obtención de otras actualizaciones de seguridad:

Las actualizaciones para otros problemas de seguridad están disponibles en las ubicaciones siguientes:

Hay actualizaciones de seguridad disponibles en el Centro de descarga de Microsoft. Si realiza una búsqueda de las palabras clave “revisión de seguridad” podrá encontrarlas fácilmente.

Hay disponibles actualizaciones para las plataformas de usuarios en el sitio web Windows Update de Microsoft.

Soporte técnico:

Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico de los Servicios de soporte técnico de Microsoft en 1-866-PCSAFETY. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad son gratuitas.

Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad son gratuitas. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite el sitio web de soporte técnico internacional de Microsoft.

Recursos de seguridad:

El sitio web Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft.

Centro de administración de actualizaciones de TechNet

Microsoft Software Update Services

Microsoft Windows Server Update Services

Microsoft Baseline Security Analyzer (MBSA)

Windows Update

Microsoft Update

Catálogo de actualizaciones de Windows: Para obtener más información sobre el Catálogo de actualizaciones de Windows, consulte el artículo 323166 de Microsoft Knowledge Base.

Office Update 

Software Update Services:

Software Update Services (SUS) permite a los administradores implementar con rapidez y confiabilidad las actualizaciones críticas y de seguridad más recientes en servidores basados en Windows 2000 y Windows Server 2003, y en sistemas de escritorio donde se ejecute Windows 2000 Professional o Windows XP Professional.

Para obtener más información acerca de cómo implementar actualizaciones de seguridad con Software Update Services, visite el sitio web de Software Update Services.

Windows Server Update Services:

Windows Server Update Services (WSUS) permite a los administradores implementar con rapidez y fiabilidad las actualizaciones críticas y de seguridad más recientes en sistemas operativos Windows 2000 y versiones posteriores, Office XP y versiones posteriores, Exchange Server 2003 y SQL Server 2000 hasta Windows 2000 y sistemas operativos posteriores.

Para obtener más información acerca de cómo implementar actualizaciones de seguridad con Windows Server Update Services, visite el sitio web de Windows Server Update Services.

Systems Management Server:

Microsoft Systems Management Server (SMS) ofrece una solución empresarial altamente configurable para la administración de las actualizaciones. Mediante SMS, los administradores pueden identificar los sistemas basados en Windows que necesitan actualizaciones de seguridad, así como realizar la implementación controlada de las actualizaciones en la empresa con una repercusión mínima para los usuarios finales. Para obtener más información acerca de cómo pueden utilizar SMS 2003 los administradores para implementar actualizaciones de seguridad, visite el sitio web de administración de revisiones de seguridad de SMS 2003. Los usuarios de SMS 2.0 también pueden usar Software Updates Service Feature Pack como ayuda para la implementación de actualizaciones de seguridad. Para obtener más información acerca de SMS, visite el sitio web de SMS.

Nota SMS usa las herramientas Microsoft Baseline Security Analyzer, Microsoft Office Detection Tool y Enterprise Update Scan Tool para proporcionar un amplio soporte técnico en la detección e implementación de las actualizaciones indicadas en los boletines de seguridad. Puede que estas herramientas no detecten algunas actualizaciones de software. Los administradores pueden usar las prestaciones de inventario de SMS en estos casos para concretar qué actualizaciones se deben aplicar en cada sistema. Para obtener más información acerca de este procedimiento, visite el siguiente sitio web, en inglés. Algunas actualizaciones de seguridad pueden requerir derechos administrativos y que se reinicie el sistema. Los administradores pueden usar la utilidad Elevated Rights Deployment Tool (disponible en SMS 2003 Administration Feature Pack y en SMS 2.0 Administration Feature Pack) para instalar estas actualizaciones.

Renuncia:

La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones: 

V1.0 (13 de febrero de 2007): Publicación del boletín.



©2017 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft