Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified
   
Home Technet Seguridad >Boletines
 
Boletín de Seguridad MS03-011
Un problema en la máquina virtual de Microsoft podría poner en peligro el sistema (816093)
 

Expuesto originalmente: 09 de abril de 2003

Resumen

Quién debería leer este boletín: Los clientes que utilicen Microsoft® Windows®.

Alcance de la vulnerabilidad: Permite que un atacante ejecute el código que prefiera.

Gravedad máxima: Crítica

Recomendación: Los clientes deben instalar la compilación 3810 de la máquina
virtual de Microsoft (Microsoft VM, Microsoft Virtual Machine) o una posterior,
según se explica a continuación.

Boletín para el usuario final: Existe una versión de este boletín para el
usuario final en: www.microsoft.com/latam/technet/seguridad/boletines/MS03-011/MS03-011_USER.asp

Software afectado:

  • Las versiones de la máquina virtual de Microsoft se identifican mediante números de compilación, que se pueden determinar mediante la herramienta JVIEW como se detalla en la sección de preguntas más frecuentes. Todas las compilaciones de la máquina virtual de Microsoft hasta la 5.0.3809 inclusive están afectadas por estas vulnerabilidades.

 
 
Detalles técnicos
 
   

Descripción técnica:

Microsoft VM es una máquina virtual para el entorno operativo Win32®. Se incluye en la mayor parte de las versiones de Windows (en la sección de preguntas más frecuentes hay una lista completa) y en la mayoría de las versiones de Internet Explorer.
 
 La máquina virtual de Microsoft actual, que incluye todas las revisiones publicadas anteriormente para la misma, se ha actualizado de modo que contenga una solución para un problema de seguridad recién descubierto. Esta nueva vulnerabilidad en la seguridad afecta al componente ByteCode Verifier de la máquina virtual de Microsoft y se deriva del hecho de que dicho componente no comprueba correctamente la presencia de determinado código dañino cuando se está cargando un subprograma Java. Probablemente, este nuevo problema de seguridad podría posibilitar que un atacante creara un subprograma Java dañino y lo insertara en una página Web que, al abrirse, podría aprovecharse de dicha vulnerabilidad. El atacante podría entonces alojar esta página Web dañina en un sitio Web o enviarla por correo electrónico a un usuario.

Factores atenuantes:

  • Para aprovechar esta vulnerabilidad a través de una forma de ataque lanzada desde el Web, el atacante necesitaría atraer a un usuario para que visitara un sitio Web que estuviera bajo su control. La propia vulnerabilidad no implica una forma de obligar al usuario a que visite un sitio Web.

  • Los subprogramas Java se deshabilitan dentro de la zona Sitios restringidos. Por ello, cualquier cliente de correo que abriera correo HTML dentro de dicha zona, por ejemplo Outlook 2002, Outlook Express 6, Outlook 98 o Outlook 2000, cuando se usan conjuntamente con la actualización de seguridad de correo electrónico de Outlook (Outlook Email Security Update)no estarían en peligro como consecuencia de la forma de ataque a través del correo.

  • La vulnerabilidad sólo obtendría los privilegios del usuario, de modo que los usuarios que operaran con privilegios menores a los administrativos sufrirían un riesgo menor como resultado de dicha vulnerabilidad.

  • Los administradores informáticos podrían limitar el riesgo al que se exponen los usuarios de una empresa mediante el uso de filtros de aplicación en el servidor de seguridad para inspeccionar y bloquear código móvil.

Gravedad:  

 

Microsoft VM

crítica

Esta clasificación está basada en los tipos de sistemas afectados por esta vulnerabilidad, en sus patrones típicos de implementación y en el efecto que podría tener un ataque que aproveche dicha vulnerabilidad.

Identificador de vulnerabilidad: CAN-yyyy-xxxx

Versiones probadas:
 

Microsoft ha realizado pruebas de las compilaciones 5.0.3802 y posteriores de la máquina virtual para evaluar si están afectadas por estas vulnerabilidades. Las versiones anteriores ya no reciben soporte técnico y pueden o no verse afectadas.

 
 
Preguntas más frecuentes
 
   

¿Qué vulnerabilidad en la seguridad se elimina mediante la nueva compilación de la máquina virtual?

Esta compilación de la máquina virtual incluye todas las revisiones de seguridad publicadas anteriormente, además de una que corrige una vulnerabilidad recién descubierta en la seguridad que afecta al componente ByteCode Verifier y que podría permitir que un atacante ejecutara el código que deseara en el sistema de cualquier usuario.
 

¿Qué es Microsoft VM?
La máquina virtual de Microsoft (Microsoft VM, Microsoft Virtual Machine) hace posible que los programas Java se ejecuten en plataformas Windows. Microsoft VM se incluye en la mayor parte de las versiones de Windows e Internet Explorer. Las vulnerabilidades aquí expuestas afectan a todos los clientes que tengan la máquina virtual de Microsoft.

No sé si en mi sistema tengo instalada la máquina virtual de Microsoft. ¿Cómo puedo averiguarlo?
Si usa alguna de las versiones de Windows siguientes, tiene instalada la máquina virtual de Microsoft:
 • Microsoft Windows 95
 • Microsoft Windows 98 y Windows 98 Segunda edición
 • Microsoft Windows Millennium
 • Microsoft Windows NT 4.0, comenzando con el Service Pack 1
 • Microsoft Windows 2000
 • Microsoft Windows XP

La máquina virtual de Microsoft también se distribuye como parte de diversas versiones de Internet Explorer y de otros productos. Si duda de si la tiene instalada, haga lo siguiente:
1. Seleccione Inicio y, a continuación, elija Ejecutar.
2. Abra un cuadro de comandos, como se explica a continuación:
    o Si utiliza Windows 98 o Windows Millennium, escriba “command” (sin las comillas) y presione la tecla Entrar.
    o Si utiliza Windows NT 4.0, Windows 2000 o Windows XP, escriba “cmd” (sin las comillas) y presione la tecla Entrar.
3. En el cuadro de comandos resultante, escriba “Jview” (sin las comillas). Si se ejecuta un programa, tiene instalada la máquina virtual de Microsoft. No está instalada si aparece un error en el que se indica que no existe ningún programa con ese nombre.

¿Es ésta una versión nueva de la máquina virtual de Microsoft?
Sí, la compilación 3810 de Microsoft VM es una versión nueva.

¿Cómo puedo saber la versión de Microsoft VM que uso?
A continuación se explica cómo determinar el número de compilación que está utilizando:
1. Seleccione Inicio y, a continuación, elija Ejecutar.
2. En Windows 95, Windows 98 o Windows Millennium Edition, escriba “command” (sin las comillas). En Windows NT 4.0, Windows 2000 o Windows XP, escriba “cmd” (de nuevo sin las comillas). Presione la tecla Entrar.
3. En el cuadro de comandos resultante, escriba “Jview” (sin las comillas) y presione la tecla Entrar.
4. En la primera línea de la lista resultante debería ver un número de versión con el formato x.yy.zzzz. Los últimos cuatro dígitos indican el número de compilación.

Cuando sepa el número de compilación ¿qué debo hacer?
Con la tabla siguiente puede determinar la acción apropiada.
 

Si el número de versión es.. Debe..
3809 o anterior Aplicar la compilación 3810 de Microsoft VM (disponible en Windows Update).
3810 o posterior No haga nada. Utiliza una versión que ya está protegida frente a estas vulnerabilidades.



Soy administrador de redes. Veo que la revisión de seguridad está disponible en Windows Update pero me gustaría descargarla y actualizar la máquina virtual de Microsoft en los sistemas de los usuarios. ¿Puedo hacerlo?

Sí. Puede actualizar las máquinas virtuales de Microsoft con los pasos siguientes:
 1. Vaya al sitio Web de Windows Update.
 2. En el panel de la izquierda, en Otras opciones, seleccione Personalizar Windows Update.
 3. En Establecer las opciones para Windows Update, active la casilla de verificación Mostrar el vínculo del Catálogo de Windows Update en Vea también y haga clic en Guardar configuración.
 4. Vuelva al sitio Web de Windows Update.
 5. En el panel de la izquierda, en Ver también, seleccione Catálogo de Windows Update.
 6. Seleccione Buscar actualizaciones para los sistemas operativos Microsoft Windows.
 7. Seleccione el sistema operativo y el idioma que desee.
 8. Seleccione “Actualizaciones críticas y Service Packs”.
 9. Seleccione todas las revisiones que le gustaría descargar y haga clic en Ir a la Cesta de descarga para descargarlas.
 Para obtener más información acerca de cómo usar el Catálogo de Windows Update, consulte las referencias siguientes:
 • Windows NT 4.0: artículo de Microsoft Knowledge Base 313191.
 • Windows 2000: artículo de Microsoft Knowledge Base 323166.
 • Windows XP: artículo de Microsoft Knowledge Base 323166.
 • Los demás sistemas operativos: artículo de Microsoft Knowledge Base 810030.

¿Cuál es la causa de esta vulnerabilidad?
La vulnerabilidad es resultado de un problema en la forma en que el componente ByteCode Verifier comprueba el código cuando la máquina virtual de Microsoft lo está cargando inicialmente.

¿Qué es ByteCode Verifier?
Se trata de un proceso de bajo nivel de la máquina virtual de Microsoft que es responsable de comprobar la validez del código, o del código de bytes, al cargarse inicialmente en la máquina.

¿Qué funciona mal en ByteCode Verifier en la máquina virtual de Microsoft?
Hay un problema en la forma en que ByteCode Verifier realiza sus comprobaciones cuando carga el código. No realiza la comprobación correctamente para una secuencia no válida de códigos de bytes en particular, y por lo tanto puede usarse un subprograma dañino para aprovechar esta omisión en la comprobación y evitar las siguientes comprobaciones de seguridad.

¿Qué podría hacer un atacante que aprovechara esta vulnerabilidad?
Esta vulnerabilidad podría permitir que un atacante construyera un subprograma Java dañino que se podría usar para ejecutar el código que deseara el atacante en el equipo del usuario. El atacante sólo podría ejecutar su código con los permisos que tuviera el usuario, de modo que le afectarían también las mismas restricciones que a éste.

¿Cómo podría aprovechar un atacante esta vulnerabilidad?
Un atacante podría aprovechar esta vulnerabilidad creando un subprograma Java dañino e insertándolo en una página Web. La página Web podría entonces alojarse en un sitio Web o ser enviada por correo electrónico a un usuario.

¿Qué riesgo podría suponer una forma de ataque que utilizara el correo?
La desventaja para un atacante que envíe un subprograma en un mensaje HTML es que los clientes de correo de Microsoft más recientes no permiten ejecutarse a los subprogramas Java incluidos en correo electrónico. De forma predeterminada, Outlook Express 6 y Outlook 2002 impiden que los subprogramas Java incrustados en correo HTML se ejecuten. De igual modo, Outlook 98 y Outlook 2000 evitan que los subprogramas Java se ejecuten si se ha instalado la actualización de seguridad de correo electrónico de Outlook (Outlook Email Security Update). La ventaja para el atacante es que los subprogramas podrían dirigirse a usuarios específicos, es decir, no necesitaría esperar a que visitaran su sito Web sino que podría enviarles directamente el subprograma.

¿Cómo funciona esta revisión de seguridad?
La revisión elimina la vulnerabilidad al garantizar que ByteCode Verifier lleve a cabo las comprobaciones correctas al cargar un subprograma Java.
 

Soluciones:

¿Puedo evitar de alguna forma este problema mientras evalúo o pruebo la nueva máquina virtual de Microsoft?


Hay diversas maneras de evitar temporalmente el problema mientras evalúa y prueba la nueva máquina de Microsoft:
 
 • En un entorno empresarial, se pueden usar filtros de aplicación en el servidor de seguridad para inspeccionar el código móvil, bloquearlo o realizar ambas acciones a la vez.
 • La forma de ataque mediante correo electrónico se evita de manera predeterminada si se usa uno de los clientes Microsoft Outlook más recientes, como Outlook 2002 o Outlook Express 6. En los clientes Microsoft Outlook anteriores, como Outlook 98 o 2000, el ataque mediante correo electrónico se bloquea con la actualización de seguridad de correo electrónico de Outlook (Outlook Email Security Update).
 • Se puede impedir que se ejecuten subprogramas Java en la zona Internet Explorer. Observe que si se deshabilitan los subprogramas Java, se puede ver afectada su capacidad de ver ciertas páginas Web. Para ello, lleve a cabo las instrucciones siguientes:
 o En el menú Herramientas, haga clic sucesivamente en Opciones de Internet, en la ficha Seguridad y en Nivel personalizado.
 o En el cuadro Configuración, haga clic sucesivamente en Deshabilitar Java, en Permisos de Java, en Aceptar y de nuevo en Aceptar.
 

 

Disponibilidad de la revisión de seguridad

Lugares de descarga de esta revisión de seguridad

  • La revisión de seguridad puede actualizar las máquinas virtuales de Microsoft existentes a través del sitio Web Windows Update.


Nota: existe una versión de la revisión de seguridad que se puede descargar e implementar a través de una red. En la sección de preguntas más frecuentes hay información que indica cómo obtenerla.

 
 
Información adicional acerca de esta revisión de seguridad
 
   

Plataformas de instalación:
La nueva compilación de la máquina virtual se puede instalar para actualizar las máquinas virtuales de Microsoft en las versiones siguientes de Windows:
 • Microsoft Windows 95
 • Microsoft Windows 98 y Windows 98 Segunda edición
 • Microsoft Windows Millennium
 • Microsoft Windows NT 4.0, comenzando con el Service Pack 1
 • Windows 2000 Service Pack 2 o Service Pack 3
 • Microsoft Windows XP Gold o Service Pack 1.

Inclusión en futuros Service Packs:
Las revisiones contenidas en esta compilación se incluirán en todas las compilaciones futuras de Microsoft VM.

Reinicio necesario:

¿Se puede desinstalar esta revisión de seguridad? No

Revisiones de seguridad anuladas por ésta:
La nueva compilación de la máquina virtual reemplaza a las compilaciones anteriores a la 5.0.3809, inclusive. Contiene revisiones para todos los problemas enumerados en los siguientes boletines de seguridad de Microsoft:
 • MS99-031
 • MS99-045
 • MS00-011
 • MS00-059
 • MS00-075
 • MS00-081
 • MS02-013
 • MS02-052
 • MS02-069

Comprobación de la instalación de la revisión de seguridad:

En el artículo 816093 de Knowledge Base se proporciona información para comprobar que ha instalado la revisión.

Nota: independientemente del número de versión que se obtenga al ejecutar Jview, la clave del Registro descrita en el artículo anterior debería ser el factor determinante para saber si se ha instalado apropiadamente esta revisión

Advertencias: Ninguna.

Versiones traducidas:
Existen versiones traducidas de esta revisión de seguridad en las ubicaciones indicadas en "Disponibilidad de la revisión de seguridad".

Obtención de otras revisiones de seguridad:
Hay revisiones de seguridad para otros problemas en las ubicaciones siguientes:

·      Las revisiones de seguridad están disponibles en Microsoft Download Center  y se pueden encontrar con mayor facilidad si se realiza una búsqueda por la palabra clave "security_patch".

·      Las revisiones de seguridad para plataformas de usuarios están disponibles en el sitio Web  WindowsUpdate.

 

Otra información:

Soporte técnico:

·        Este problema se trata en el artículo 816093 de Microsoft Knowledge Base. Los artículos de Knowledge Base se encuentran en el sitio Web de Soporte técnico en línea de Microsoft.

·        El soporte técnico está disponible en los Servicios de soporte técnico de Microsoft. Las llamadas de soporte técnico relacionadas con las revisiones de seguridad son gratuitas.

Recursos de seguridad:
El sitio Web Microsoft TechNet Security proporciona información adicional acerca de la seguridad en los productos de Microsoft.

Renuncia:
La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda otra garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales y, por tanto, la limitación anterior puede no serle aplicable.

Revisiones:

  • V1.0 (9 de abril de 2003): publicación del boletín.

   
 
 
 
 
Recursos
Webcasts de Seguridad
Newsletter de Seguridad
Boletines de Seguridad
Glosario español
Actualice su PC
 
Comunidad
Learning Center
Videos de Seguridad
Weblogs
 
 

©2015 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft