Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified

Boletín de seguridad de Microsoft MS07-054 - Importante

Una vulnerabilidad en MSN Messenger y Windows Live Messenger podría permitir la ejecución remota de código (942099)

Publicado: septiembre 11, 2007 | Actualizado: septiembre 12, 2007

Versión: 1.1

Información general

Resumen ejecutivo

Esta actualización de seguridad importante resuelve una vulnerabilidad que se ha divulgado públicamente en MSN Messenger y Windows Live Messenger. La vulnerabilidad podría permitir la ejecución remota de código cuando un usuario acepta una invitación de cámara web o de videocharla de un atacante. Un atacante que aprovechara con éxito esta vulnerabilidad podría obtener el control completo del sistema afectado. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Los clientes que usan MSN Messenger 7.0.0820 o Windows Live Messenger 8.1 no están afectados por esta vulnerabilidad. Para obtener más información, consulte la subsección Software afectado y no afectado, en esta sección.

Para obtener más información acerca de la vulnerabilidad, consulte la subsección Preguntas más frecuentes (P+F) de la entrada de vulnerabilidad específica en la sección siguiente, Información sobre la vulnerabilidad.

Recomendación. Microsoft recomienda que los clientes que usen MSN Messenger 6.2 y MSN Messenger 7.0 en Microsoft Windows 2000 Service Pack 4 actualicen a MSN Messenger 7.0.0820 lo antes posible. Los clientes de otras plataformas compatibles de Windows, con MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 o Windows Viven Messenger 8.0, deben actualizar a Windows Vive Messenger 8.1 lo antes posible.

Problemas conocidos. Ninguna

Software afectado y no afectado

El software siguiente se ha probado para determinar las versiones o ediciones que están afectadas. Otras versiones o ediciones han llegado al final de su ciclo de vida o no están afectadas.

Software afectado

Sistema operativoSoftwareRepercusión de seguridad máximaClasificación de gravedad acumuladaBoletines reemplazados por esta actualización

Microsoft Windows 2000 Service Pack 4

MSN Messenger 6.2
MSN Messenger 7.0

Ejecución remota de código

Importante

Ninguna

Windows XP Service Pack 2

MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0

Ejecución remota de código

Importante

Ninguna

Windows XP Professional x64 Edition

MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0

Ejecución remota de código

Importante

Ninguna

Windows XP Professional x64 Edition Service Pack 2

MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0

Ejecución remota de código

Importante

Ninguna

Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2

MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0

Ejecución remota de código

Importante

Ninguna

Windows Server 2003 x64 Edition

MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0

Ejecución remota de código

Importante

Ninguna

Windows Server 2003 x64 Edition Service Pack 2

MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0

Ejecución remota de código

Importante

Ninguna

Windows Vista

MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0

Ejecución remota de código

Importante

Ninguna

Windows Vista x64 Edition

MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0

Ejecución remota de código

Importante

Ninguna

Software no afectado

Sistema operativoSoftware

Microsoft Windows 2000 Service Pack 4

MSN Messenger 7.0.0820

Windows XP Service Pack 2

Windows Live Messenger 8.1

Windows XP Professional x64 Edition

Windows Live Messenger 8.1

Windows XP Professional x64 Edition Service Pack 2

Windows Live Messenger 8.1

Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2

Windows Live Messenger 8.1

Windows Server 2003 x64 Edition

Windows Live Messenger 8.1

Windows Server 2003 x64 Edition Service Pack 2

Windows Live Messenger 8.1

Windows Vista

Windows Live Messenger 8.1

Windows Vista x64 Edition

Windows Live Messenger 8.1

Preguntas más frecuentes (P+F) relacionadas con esta actualización de seguridad

¿Cómo se ofrecerá esta actualización?  
Tras iniciar sesión en el servicio de MSN Messenger, el mecanismo de implementación de cliente del servicio de MSN Messenger pedirá a los usuarios de MSN Messenger 6.2 y MSN Messenger 7.0 en ediciones compatibles de sistemas operativos Windows anteriores a Windows XP que acepten la actualización a MSN Messenger 7.0.0820.

Además, los usuarios que deseen descargar la actualización a MSN Messenger 7.0.0820 inmediatamente pueden hacerlo si utilizan el vínculo Centro de descarga que se proporciona en la tabla Software afectado. Tenga en cuenta que esto sólo se aplica a usuarios de MSN Messenger 6.2 y MSN Messenger 7.0 en ediciones compatibles de Microsoft Windows 2000 Service Pack 4.

Tras iniciar sesión en el servicio de MSN Messenger o Windows Live Messenger, el mecanismo de implementación de cliente en el servicio de MSN Messenger o Windows Live Messenger pedirá a los usuarios de MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 y Windows Live Messenger 8.0 en ediciones compatibles de Windows XP y posteriores que acepten la actualización a Windows Live Messenger 8.1.

Además, los usuarios que deseen descargar la actualización a Windows Live Messenger 8.1 inmediatamente pueden hacerlo si utilizan el vínculo Centro de descarga que se proporciona en la tabla Software afectado. Tenga en cuenta que esto sólo se aplica a usuarios de MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 y Windows Live Messenger 8.0 en ediciones compatibles de Microsoft Windows 2000 Service Pack 4.

Si no se actualizan, los usuarios de versiones vulnerables de los clientes de MSN Messenger o Windows Live Messenger no podrán conectarse al servicio de MSN Messenger o Windows Live Messenger.

¿Cuál es el motivo de la publicación de esta actualización por parte de Microsoft a través del servicio de MSN Messenger o Windows Live Messenger y como descarga?  
Microsoft publica actualmente actualizaciones del cliente de MSN Messenger o Windows Live Messenger mediante la red de MSN Messenger o Windows Live Messenger porque estos servicios en línea disponen de un mecanismo de implementación de cliente propio. No obstante, también hay disponibles vínculos de Centro de descarga para los clientes específicos de MSN Messenger o Windows Live Messenger que se ejecuten en las plataformas indicadas en la tabla Software afectado porque los usuarios pueden desear descargar las actualizaciones inmediatamente.

Si se trata de una actualización, ¿cómo puedo detectar si tengo una versión vulnerable de MSN Messenger o Windows Live Messenger?  
Cuando intenta iniciar sesión en el servicio de MSN Messenger o Windows Live Messenger, el mecanismo de actualización de cliente determinará automáticamente la versión y plataforma de cliente actuales y, si es necesario, recomendará la actualización adecuada. Además, puede comprobar la versión del cliente MSN Messenger o Windows Live Messenger si hace clic en Ayuda y, a continuación, en Acerca de.

¿Qué sucede si no actualizo a MSN Messenger 7.0.0820 o Windows Live Messenger 8.1?  
Si no actualiza a una versión no afectada del cliente de MSN Messenger o Windows Live Messenger, según la plataforma, se le pedirá que se actualice cada vez que intente iniciar sesión. Si no acepta la actualización, no tendrá acceso al servicio de MSN Messenger o Windows Live Messenger. Consulte en la tabla Software no afectado de esta sección los detalles sobre las plataformas y versiones de actualización de los clientes de MSN Messenger y Windows Live Messenger.

¿Están afectadas por esta vulnerabilidad otras aplicaciones de colaboración en tiempo real de Microsoft como Windows Messenger u Office Communicator?  
No. Otras aplicaciones de mensajería no están afectadas ya que no contienen el componente vulnerable.

Información sobre la vulnerabilidad

Gravedad e identificadores de vulnerabilidad

Gravedad de la vulnerabilidad y repercusión de seguridad máxima del software afectado
Software afectadoVulnerabilidad de ejecución remota de código en sesión de cámara web o de videocharla de MSN Messenger (CVE-2007-2931)Clasificación de gravedad acumulada

MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0

Importante

Ejecución remota de código

Importante

Vulnerabilidad de ejecución remota de código en sesión de cámara web o de videocharla de MSN Messenger (CVE-2007-2931)

Existe una vulnerabilidad de ejecución remota de código en MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 y Windows Live Messenger 8.0. La vulnerabilidad podría permitir la ejecución remota de código cuando un usuario acepta una invitación de cámara web o de videocharla de un atacante. Un atacante que aprovechara con éxito esta vulnerabilidad podría obtener el control completo del sistema afectado. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Para ver esta vulnerabilidad como una entrada estándar en la lista de vulnerabilidades y exposiciones comunes, consulte CVE-2007-2931.

Factores atenuantes para la vulnerabilidad de ejecución remota de código en sesión de cámara web o de videocharla de MSN Messenger (CVE-2007-2931)

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

Para aprovechar la vulnerabilidad, el atacante tendría que convencer al usuario para que aceptara una invitación de cámara web o de videocharla en un mensaje de MSN Messenger o Windows Live Messenger. El atacante no podría obligar a los usuarios a aceptar la invitación de cámara web o de videocharla. En su lugar, tendría que convencerles para que aceptaran dicha invitación.

Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Los usuarios de Windows Live Messenger 8.1, publicado en 2007, ya están protegidos contra esta vulnerabilidad. Los usuarios de MSN Messenger 7.0.0820, que se ha publicado recientemente, también están protegidos contra esta vulnerabilidad.

Soluciones provisionales para la vulnerabilidad de ejecución remota de código en sesión de cámara web o de videocharla de MSN Messenger (CVE-2007-2931)

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de realizar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

Bloquear el tráfico de MSN Messenger o Windows Live Messenger con ISA Server. Vea el artículo 925120 de Microsoft Knowledge Base.

Consecuencias de la solución provisional. De este modo se evita que el tráfico de MSN Messenger o Windows Live Messenger entre o salga de la empresa.

Bloquear determinados puertos de red para MSN Messenger o Windows Live Messenger. Vea el artículo 927847 de Microsoft Knowledge Base.

Consecuencias de la solución provisional. Esto permite a los administradores evitar selectivamente las sesiones de cámara web y de videocharla, a diferencia de bloquear por completo el tráfico de MSN Messenger o Windows Live Messenger.

Preguntas más frecuentes sobre la vulnerabilidad de ejecución remota de código en sesión de cámara web o de videocharla de MSN Messenger (CVE-2007-2931)

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas, ver, cambiar o eliminar datos o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cuál es la causa de esta vulnerabilidad?  
La vulnerabilidad se debe a la forma en que MSN Messenger o Windows Live Messenger tratan las sesiones de cámara web o de videocharla especialmente diseñadas. Esto podría provocar que la memoria se dañe de manera que un atacante pueda ejecutar código arbitrario en el contexto de seguridad del usuario que ha iniciado sesión.

¿Para qué puede usar un atacante esta vulnerabilidad?  
Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas, ver, cambiar o eliminar datos o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
El atacante podría enviar una invitación a un usuario para que se uniera a una sesión de cámara web o de videocharla especialmente diseñada para aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría obligar a los usuarios a unirse a una sesión de cámara web o de videocharla. En su lugar, tendría que convencerles para que aceptaran dicha invitación.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Para que se produzca una acción de este tipo, esta vulnerabilidad requiere que el usuario inicie sesión en el servicio de MSN Messenger o Windows Live Messenger y acepte una invitación de cámara web o de videocharla. Por lo tanto, cualquier sistema donde se use MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 o Windows Live Messenger 8.0, como estaciones de trabajo o servidores, está expuesto a esta vulnerabilidad.

¿Cómo funciona esta actualización?  
MSN Messenger 7.0.0820 y Windows Live Messenger 8.1 se han actualizado para administrar de forma suficiente las sesiones de cámara web o de videocharla.

No uso cámara web. ¿Tengo que actualizarme?  
Sí. Al iniciar sesión, el servicio de MSN Messenger o Windows Live Messenger le notificará que se actualice al cliente de MSN Messenger o Windows Live Messenger correspondiente a su plataforma si no lo ha hecho todavía.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
Sí. Esa vulnerabilidad ya se ha divulgado. Se le ha asignado el número de vulnerabilidad y exposición común CVE-2007-2931.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?  
No. En el momento de emitir este boletín de seguridad, Microsoft tenía pruebas de la publicación de código de tipo conceptual pero no había recibido información alguna que indicara que esta vulnerabilidad se había utilizado para atacar a los clientes.

Información sobre la actualización

Implementación de la actualización de seguridad

Software afectado

Para obtener información sobre la actualización de seguridad específica para su software afectado, haga clic en el vínculo apropiado:

MSN Messenger (todas las versiones) en Windows 2000

Tabla de referencia

La tabla siguiente contiene la información para actualizar a MSN Messenger 7.0.0820:

Requisitos previos

MSN Messenger 6.2 en Microsoft Windows 2000 Service Pack 4
MSN Messenger 7.0 en Microsoft Windows 2000 Service Pack 4

Implementación

Al iniciar sesión en el servicio de MSN Messenger, acepte la solicitud de actualizar a MSN Messenger 7.0.0820.

Además, los usuarios que deseen descargar la actualización a MSN Messenger 7.0.0820 inmediatamente pueden hacerlo si utilizan el vínculo Centro de descarga que se proporciona en la tabla Software afectado. Tenga en cuenta que esto sólo se aplica a usuarios de MSN Messenger 6.2 y MSN Messenger 7.0 en ediciones compatibles de Microsoft Windows 2000 Service Pack 4.

Requisito de reinicio

Sí, es posible que deba reiniciar el sistema después de la actualización si, durante la misma, tiene usuarios con varias sesiones de MSN Messenger activas en el sistema

Información sobre la eliminación

Use la herramienta Agregar o quitar programas, que se encuentra en el Panel de control

Comprobación de la actualización

En MSN Messenger, haga clic en Ayuda y, a continuación, en Acerca de. Compruebe que el número de versión sea 7.0.0820.

MSN Messenger o Windows Live Messenger (todas las versiones) en Windows XP, Windows Server 2003 y Windows Vista

Tabla de referencia

La tabla siguiente contiene la información para actualizar a Windows Live Messenger 8.1:

Requisitos previos

MSN Messenger 6.2 en Windows XP Service Pack 2
MSN Messenger 7.0 en Windows XP Service Pack 2
MSN Messenger 7.5 en Windows XP Service Pack 2
Windows Live Messenger 8.0 en Windows XP Service Pack 2
MSN Messenger 6.2 en Windows XP Professional x64 Edition
MSN Messenger 7.0 en Windows XP Professional x64 Edition
MSN Messenger 7.5 en Windows XP Professional x64 Edition
Windows Live Messenger 8.0 en Windows XP Professional x64 Edition
MSN Messenger 6.2 en Windows XP Professional x64 Edition Service Pack 2
MSN Messenger 7.0 en Windows XP Professional x64 Edition Service Pack 2
MSN Messenger 7.5 en Windows XP Professional x64 Edition Service Pack 2
Windows Live Messenger 8.0 en Windows XP Professional x64 Edition Service Pack 2
MSN Messenger 6.2 en Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
MSN Messenger 7.0 en Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
MSN Messenger 7.5 en Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
Windows Live Messenger 8.0 en Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
MSN Messenger 6.2 en Windows Server 2003 x64 Edition
MSN Messenger 7.0 en Windows Server 2003 x64 Edition
MSN Messenger 7.5 en Windows Server 2003 x64 Edition
Windows Live Messenger 8.0 en Windows Server 2003 x64 Edition
MSN Messenger 6.2 en Windows Server 2003 x64 Edition Service Pack 2
MSN Messenger 7.0 en Windows Server 2003 x64 Edition Service Pack 2
MSN Messenger 7.5 en Windows Server 2003 x64 Edition Service Pack 2
Windows Live Messenger 8.0 en Windows Server 2003 x64 Edition Service Pack 2
MSN Messenger 6.2 en Windows Vista
MSN Messenger 7.0 en Windows Vista
MSN Messenger 7.5 en Windows Vista
Windows Live Messenger 8.0 en Windows Vista
MSN Messenger 6.2 en Windows Vista x64 Edition
MSN Messenger 7.0 en Windows Vista x64 Edition
MSN Messenger 7.5 en Windows Vista x64 Edition
Windows Live Messenger 8.0 en Windows Vista x64 Edition

Implementación

Al iniciar sesión en el servicio de MSN Messenger o Windows Live Messenger, acepte la solicitud de actualizar a Windows Live Messenger 8.1.

Además, los usuarios que deseen descargar la actualización a Windows Live Messenger 8.1 inmediatamente pueden hacerlo si utilizan el vínculo Centro de descarga que se proporciona en la tabla Software afectado. Tenga en cuenta que esto sólo se aplica a usuarios de MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 y Windows Live Messenger 8.0 en ediciones compatibles de Microsoft Windows 2000 Service Pack 4.

Requisito de reinicio

Sí, es posible que deba reiniciar el sistema después de la actualización si, durante la misma, tiene usuarios con varias sesiones de MSN Messenger o Windows Live Messenger activas en el sistema

Información sobre la eliminación

Use la herramienta Agregar o quitar programas, que se encuentra en el Panel de control

Comprobación de la actualización

En Windows Live Messenger, haga clic en Ayuda y, a continuación, en Acerca de. Compruebe que el número de versión sea 8.1.0178.00.

Información adicional:

Agradecimientos

Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

Woo Shi, de team 509, por informar de la vulnerabilidad de ejecución remota de código en la videocharla de MSN Messenger (CVE-2007-2931)

Soporte técnico

Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico de los Servicios de soporte técnico de Microsoft en 1-866-PCSAFETY. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad son gratuitas.

Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad son gratuitas. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite el sitio web de soporte técnico internacional de Microsoft.

Renuncia

La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones

V1.0 (11 de septiembre de 2007): Publicación del boletín.

V1.1 (12 de septiembre de 2007): Vínculos de Centro de descarga agregados a la tabla Software afectado para actualizar a Windows Live Messenger 8.1.



©2016 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft