Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified
   
Home Technet Seguridad >Boletines
 
Boletín de Seguridad MS03-048
Actualización acumulativa para Internet Explorer (824145)
 

Expuesto originalmente: 11 de Noviembre de 2003
Versión: 1.0

Resumen

Quién debería leer este boletín: Los clientes que tengan instalado Microsoft® Internet Explorer

 

Alcance de la vulnerabilidad: Ejecución remota de código
 

Gravedad máxima: Crítica.

 

Recomendación: Los clientes deberían instalar esta actualización de seguridad de inmediato.

 

Reemplazo de revisión: Esta actualización reemplaza a la suministrada por el boletín de seguridad de Microsoft MS03-040, que también era una actualización acumulativa.

 

Advertencias: Ninguna

 

Ubicaciones de descarga de la revisión y productos probados:
 

Software afectado:

  • Microsoft Windows 98

  • Microsoft Windows 98 Second Edition

  • Microsoft Windows Millennium Edition

  • Microsoft Windows NT® Workstation 4.0 Service Pack 6a

  • Microsoft Windows NT Server 4.0 Service Pack 6a

  • Microsoft Windows NT Server 4.0 Terminal Server Edition, Service Pack 6

  • Microsoft Windows 2000 Service Pack 2

  • Microsoft Windows 2000 Service Pack 3

  • Microsoft Windows 2000 Service Pack 4

  • Microsoft Windows XP Gold Service Pack 1

  • Microsoft Windows XP 64-Bit Edition

  • Microsoft Windows XP 64-Bit Edition Versión 2003

  • Microsoft Windows Server® 2003

  • Microsoft Windows Server 2003, 64-Bit Edition

Componentes probados de Microsoft Windows:

  • Internet Explorer 6 Service Pack 1: Descargar la actualización.

  • Internet Explorer 6 Service Pack 1 (64-Bit Edition): Descargar la actualización

  • Internet Explorer 6 Service Pack 1 para Windows Server 2003: Descargar la actualización.

  • Internet Explorer 6 Service Pack 1 para Windows Server 2003 (64-Bit Edition): Descargar la actualización

  • Internet Explorer 6: Descargar la actualización.

  • Internet Explorer 5.5 Service Pack 2: Descargar la actualización.

  • Internet Explorer 5.01 Service Pack 4: Descargar la actualización.

  • Internet Explorer 5.01 Service Pack 3: Descargar la actualización.

  • Internet Explorer 5.01 Service Pack 2: Descargar la actualización.

  •  
     
    Detalles técnicos  

     


    Descripción técnica:

    Se trata de una actualización acumulativa que incluye las funciones de todas las actualizaciones publicadas hasta la fecha para Internet Explorer 5.01, Internet Explorer 5.5 e Internet Explorer 6.0. Además, elimina los cinco puntos vulnerables siguientes, descubiertos recientemente:

    • Tres puntos vulnerables que tienen que ver con el modelo de seguridad entre dominios de Internet Explorer, que evita que las ventanas de dominios diferentes compartan información. Estos puntos vulnerables podrían ocasionar la ejecución de una secuencia de comandos en la zona Mi PC. Para aprovecharse de uno de estos puntos, el atacante tendría que alojar un sitio Web que contuviera una página Web diseñada para aprovechar esta vulnerabilidad y a continuación persuadir a un usuario de que visitara dicho sitio. El atacante también podría crear un mensaje de correo electrónico HTML diseñado para aprovecharse de uno de estos puntos vulnerables y persuadir al usuario para que lo lea. Una vez que el usuario ha visitado el sitio Web o ha leído el mensaje de correo electrónico HTML, el atacante que se ha aprovechado de uno de estos puntos vulnerables podría acceder a la información de otros sitios Web, acceder a los archivos del sistema de un usuario y ejecutar código arbitrario en el sistema del usuario. Este código se ejecutaría dentro del contexto de seguridad del usuario que haya iniciado la sesión.
       
    • Un punto vulnerable que afecta a la forma en que se transfiere la información de zona a un objeto XML en Internet Explorer. Este punto vulnerable podría permitir que el atacante leyera archivos locales en el sistema del usuario. Para aprovecharse de este punto, el atacante tendría que alojar un sitio Web que contuviera una página Web diseñada para aprovechar esta vulnerabilidad y a continuación persuadir a un usuario de que visitara dicho sitio. El atacante también podría crear un mensaje de correo electrónico HTML diseñado para aprovecharse de este punto vulnerable y persuadir al usuario para que lo lea. Una vez que el usuario ha visitado el sitio Web o ha leído el mensaje de correo electrónico HTML, se le solicitará que descargue un archivo HTML. Si el usuario acepta descargar este archivo HTML, el atacante podría leer archivos locales que se encuentren en una ubicación conocida del sistema del usuario.
       
    • Un punto vulnerable que afecta a la operación de arrastrar y soltar durante eventos dinámicos HTML (DHTML) de Internet Explorer. Este punto podría permitir que se guarde un archivo en una ubicación de destino en el sistema del usuario si el usuario hace clic en un vínculo. No aparecería ningún cuadro de diálogo donde se le solicitara al usuario que apruebe esta descarga. Para aprovecharse de uno de estos puntos, el atacante tendría que alojar un sitio Web que contuviera una página Web con un vínculo especialmente diseñado. A continuación, el atacante tendría que persuadir a un usuario de que hiciera clic en él. El atacante también podría crear un mensaje de correo electrónico HTML con un vínculo especialmente diseñado y persuadir al usuario para que lo lea y haga clic en el vínculo. Si el usuario ha hecho clic en el vínculo, el código que desee el atacante se guardará en la ubicación de destino del equipo del usuario.

    Al igual que con las actualizaciones anteriores de Internet Explorer publicadas con los boletines MS03-004, MS03-015, MS03-020 y MS03-032, esta actualización acumulativa provoca que el control window.showHelp( ) no funcione más si no se aplica la actualización de la ayuda HTML. Si ha instalado el control actualizado de la ayuda HTML mencionado en el artículo 811630 de Microsoft Knowledge Base, podrá utilizar las funciones de la ayuda HTML después de aplicar esta actualización.

    Factores atenuantes:

    Existen tres factores atenuantes que son comunes a todos los puntos vulnerables:

    ·        Internet Explorer en Windows Server 2003 se ejecuta de forma predeterminada en Configuración de seguridad mejorada. Esta configuración predeterminada de Internet Explorer bloquea automáticamente el aprovechamiento de este ataque. Si la Configuración de seguridad mejorada de Internet Explorer se ha deshabilitado, las protecciones puestas en práctica para evitar el aprovechamiento automático de estos puntos vulnerables quedarían sin efecto.

    ·        En el caso de un ataque basado en Web, el atacante tendría que alojar un sitio Web que contuviera una página Web para aprovechar estos puntos vulnerables. El atacante no puede obligar al usuario a visitar el sitio Web problemático. Por tanto, tendría que atraerlo a dicho sitio, normalmente incitándole a hacer clic en un vínculo que le lleve al mismo.

    ·        De forma predeterminada, Outlook Express 6.0, Outlook 2002 y Outlook 2003 abren los mensajes de correo electrónico HTML dentro de la zona Sitios restringidos. Además, Outlook 98 y Outlook 2000 abren los mensajes de correo electrónico HTML dentro de la zona Sitios restringidos si se ha instalado la Actualización de seguridad para correo electrónico de Outlook.  El riesgo de un tipo de ataque mediante mensaje HTML se puede reducir de forma significativa si se cumplen las siguientes condiciones:

    o         Se ha aplicado la revisión de seguridad incluida en el boletín de seguridad de Microsoft MS03-040
     

    o         Está utilizando Internet Explorer 6 o posterior
     

    o       Está utilizando la Actualización de seguridad para correo electrónico de Outlook o Microsoft Outlook Express 6.0 y posterior, o Microsoft Outlook 2000 o posterior en su configuración predeterminada.

    ·        Si un atacante se ha aprovechado de estos puntos vulnerables, sólo obtendría los mismos privilegios que el usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos privilegios sobre el sistema correrían un riesgo menor que aquellos que cuenten con privilegios administrativos.

    Además, existen dos factores atenuantes individuales para la vulnerabilidad de objeto XML:

    • Una página Web que ha intentado aprovecharse de este punto vulnerable le solicitaría al usuario que descargue un archivo HTML. Un atacante sólo podría acceder a los archivos en el sistema del usuario si éste acepta la descarga.

    • Un atacante sólo puede acceder a los archivos que se encuentran en una ubicación conocida en el sistema del usuario.

    Gravedad:

     

    Internet Explorer 5.01 SP2, SP3, SP4

    Internet Explorer 5.5 SP2

    Internet Explorer 6 (Todas las versiones anteriores a Windows Server 2003)

    Internet Explorer 6 SP1 para Windows Server 2003

    Internet Explorer 6 SP1 para Windows Server 2003 (64-Bit)

    Puntos vulnerables entre dominios

    Crítica

    Crítica

    Crítica

    Importante

    Importante

    Vulnerabilidad de objeto XML

    No está afectada

    Moderada

    Moderada

    Baja

    Baja

    Vulnerabilidad de operación de arrastrar y soltar

    Importante

    Importante

    Importante

    Moderada

    Moderada

    Gravedad acumulada de todos los problemas incluidos en esta actualización

    Crítica

    Crítica

    Crítica

    Importante

    Importante

    Esta clasificación está basada en los tipos de sistemas afectados por esta vulnerabilidad, en sus patrones típicos de implementación y en el efecto que podría tener un ataque que aproveche dicha vulnerabilidad. 

    Identificador de vulnerabilidad:

    Versiones probadas:

    Microsoft ha probado las versiones Internet Explorer 5.01 Service Pack 2, Internet Explorer Service Pack 3, Internet Explorer Service Pack 4, Internet Explorer 5.5 Service Pack 2, Internet Explorer 6.0 e Internet Explorer 6.0 Service Pack 1 para determinar si estos puntos vulnerables podrían afectarlas. Las versiones anteriores ya no reciben soporte técnico (no se comercializan) y pueden o no verse afectadas.
     
     
    Soluciones  

     


    Microsoft ha probado que las siguientes soluciones se apliquen a todos los puntos vulnerables. Estas soluciones no corregirán los puntos vulnerables subyacentes. Sin embargo, ayudarán a bloquear los tipos de ataque conocidos. Las soluciones pueden ocasionar a veces una reducción de las funciones. Dichos casos se indican a continuación.

    • Pedir datos antes de ejecutar controles ActiveX y secuencia de comandos ActiveX en las zonas Internet e Intranet

    Puede colaborar en la protección contra estos puntos vulnerables modificando la configuración de la zona de seguridad Internet para que solicite datos antes de ejecutar controles ActiveX. Para ello, siga estos pasos:

    1.       En Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.

    2.       Haga clic en la ficha Seguridad.

    3.       Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.

    4.       En Configuración, en la sección Controles y complementos de ActiveX, en Ejecutar controles y complementos de ActiveX, haga clic en Pedir datos.

    5.       En la sección Secuencia de comandos, en Secuencias de comandos ActiveX, haga clic en Pedir datos y, a continuación, haga clic en Aceptar.

    6.       Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.

    7.       En Configuración, en la sección Controles y complementos de ActiveX, en Ejecutar controles y complementos de ActiveX, haga clic en Pedir datos.

    8.       En la sección Secuencia de comandos, en Secuencias de comandos ActiveX, haga clic en Pedir datos.

    9.       Haga clic en Aceptar dos veces para volver a Internet Explorer.

    • Alcance de la solución:

    La petición de datos conlleva efectos secundarios antes de ejecutar los controles de ActiveX. Muchos sitios Web de Internet o una Intranet utilizan controles ActiveX para aportar funcionalidad adicional. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. La petición de datos antes de ejecutar controles ActiveX es una configuración global que afecta a todos los sitios de Internet e Intranet. Cuando habilite esta solución, recibirá peticiones con bastante frecuencia. En cada petición, si confía en el sitio que está visitando, haga clic en para ejecutar los controles ActiveX. Si no desea que se le pidan datos para todos estos sitios,  puede utilizar la solución "Restringir los sitios Web sólo a aquellos de confianza".

    • Restringir los sitios Web sólo a aquellos de confianza

    Después de configurar Internet Explorer para que le solicite una petición antes de ejecutar ActiveX en las zonas Internet e Intranet, puede agregar sitios en los que confíe a la zona Sitios de confianza de Internet Explorer. De esta forma, podrá seguir utilizando como siempre los sitios Web de confianza pero ayudándole a protegerse de este ataque en los sitios en los que no confía. Microsoft recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

    Para ello, siga estos pasos:

    1.       En Internet Explorer, haga clic en Herramientas, Opciones de Internet y, a continuación, en la ficha Seguridad.

    2.       En el cuadro Seleccione una zona de contenido Web para especificar la configuración de seguridad de la misma, haga clic en Sitios de confianza y, a continuación, en Sitios.

    3.       Si desea agregar sitios que no requieren un canal cifrado, haga clic para desactivar la casilla Requerir comprobación del servidor (https:) para todos los sitios de esta zona.

    4.       En el cuadro Agregar este sitio Web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.

    5.       Repita estos pasos para cada sitio que desee agregar a la zona.

    6.       Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer. Agregue todos los sitios de confianza que está seguro de que no realizarán ninguna acción perjudicial en su equipo. En concreto, hay un sitio que es aconsejable agregar: “*.windowsupdate.microsoft.com” (sin las comillas). Éste es el sitio que alojará la actualización y requiere el uso de un control ActiveX para instalarla.

    • Alcance de la solución:
      Las funciones de los sitios no configurados para que se incluyan en la zona Sitios de confianza quedarán reducidas si necesitan controles ActiveX para funcionar correctamente. Los sitios agregados a la zona Sitios de confianza podrán descargar los controles ActiveX necesarios para funcionar correctamente. No obstante, solamente debe agregar sitios en los que confíe a la zona Sitios de confianza.
       
    • Instalar la actualización de seguridad para correo electrónico de Outlook si está usando Outlook 2000 SP1 o una versión anterior

    La Actualización de seguridad para correo electrónico de Outlook hace que Outlook 98 y 2000 abran de forma predeterminada los mensajes de correo HTML en la zona Sitios restringidos. De forma predeterminada, Outlook Express 6.0, Outlook 2002 y Outlook 2003 abren los mensajes de correo electrónico HTML dentro de la zona Sitios restringidos. Los clientes que utilicen cualquiera de estos productos correrán un riesgo mínimo de ataque mediante correo electrónico que intente aprovechar estos puntos vulnerables, a no ser que hagan clic en un vínculo malintencionado del mensaje.

    • Si utiliza Outlook 2002, Outlook Express 6.0 SP1 o una versión posterior, lea los mensajes de correo electrónico como texto sin formato para protegerse del tipo de ataque mediante correo electrónico HTML

    Los usuarios de Microsoft Outlook 2002 que han aplicado el Service Pack 1 o posterior y los usuarios de Outlook Express 6.0 que han aplicado el Service Pack 1 o posterior pueden activar una función para ver todos los mensajes de correo electrónico que no estén firmados digitalmente o que no estén cifrados sólo en texto sin formato.

    A los mensajes de correo electrónico firmados digitalmente o cifrados no les afecta esta configuración y pueden leerse en sus formatos originales. La información para activar esta opción de configuración en Outlook 2002 puede encontrarse en el siguiente artículo de Knowledge Base:

    http://support.microsoft.com/default.aspx?scid=kb;en-us;307594

    La información para activar esta opción de configuración en Outlook 6,0 puede encontrarse en el siguiente artículo de Knowledge Base:

    http://support.microsoft.com/?kbid=291387

    • Alcance de la solución:

    Los mensajes vistos como texto sin formato no pueden contener imágenes, fuentes especiales, animaciones o contenido enriquecido. Además:

    ·        Los cambios se aplican al panel de vista previa y a los mensajes abiertos.

    ·        Las imágenes se convierten en archivos adjuntos para evitar perder el contenido del mensaje.

    ·        Como el formato del mensaje sigue siendo de texto enriquecido o HTML en el almacén, el modelo de objetos (soluciones de código personalizado) puede comportarse inesperadamente, ya que el mensaje todavía está en formato de texto enriquecido o HTML en el almacén de correo.
     

     
     
    Preguntas más frecuentes  

     


    ¿Qué puntos vulnerables elimina esta actualización?

    Ésta es una actualización acumulativa que incluye la funcionalidad de todas las actualizaciones lanzadas anteriormente para Internet Explorer. Además, esta actualización elimina los siguientes puntos vulnerables descubiertos recientemente:

    ·        Tres puntos vulnerables que podrían permitir a un atacante ejecutar código arbitrario en el sistema del usuario.

    ·          Un punto vulnerable que podría permitir a un atacante acceder a los archivos locales y los cookies en el sistema del usuario.

    ·          Una vulnerabilidad que podría permitir a un atacante guardar código arbitrario en el sistema del usuario.

    ¿Contiene esta actualización algún otro cambio en relación con la seguridad?

    Sí. Esta actualización también configura el bit de interrupción en los siguientes controles ActiveX:

    Descripción

    Nombre de archivo

    CLSID

    Solucionador de problemas de Windows

    Tshoot.ocx

    4B106874-DD36-11D0-8B44-00A024DD9EFF

    Clase de información de registro RuFSI de Symantec®

    Rufsi.dll

    69DEAF94-AF66-11D3-BEC0-00105AA9B6AE

    Escáner en línea RAV

    Ravonine.cab

    D32C3BAD-5213-49BD-A7D5-E6DE6C0D8249

     

    Se ha averiguado que estos controles contienen puntos vulnerables de seguridad y ya no se incluyen en Internet Explorer. Para proteger a los clientes que tienen instalado este control, esta actualización ayuda a evitar  la ejecución o la nueva introducción del control en los sistemas de usuario mediante la configuración del bit de interrupción del mismo.  En los casos en que el bit de interrupción se configura en un control de terceros, la configuración se realiza con el permiso del propietario. Se puede definir un bit de interrupción para cualquier control de forma manual siguiendo las instrucciones del artículo de Knowledge Base Q240797.

    Estoy ejecutando Internet Explorer en Windows Server 2003. ¿Soluciona esto las vulnerabilidades?

    Sí. De forma predeterminada, Internet Explorer en Windows Server 2003 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada.

    ¿Qué es la Configuración de seguridad mejorada de Internet Explorer?

    Se trata de un grupo de valores preconfigurados de Internet Explorer que reducen la posibilidad de que los usuarios o administradores descarguen o ejecuten contenido Web peligroso en un servidor. La Configuración de seguridad mejorada de Internet Explorer reduce este riesgo al modificar varios valores de configuración relacionados con la seguridad, incluidos los de las fichas Seguridad y Opciones Avanzadas en el cuadro de diálogo Opciones de Internet. Algunas de las modificaciones principales son las siguientes:

    • El nivel de seguridad para la zona Internet está establecido en Alta. Esta configuración deshabilita las secuencias de comandos, los controles ActiveX, la máquina virtual Java de Microsoft (Microsoft JVM), el contenido HTML y las descargas de archivos.

    • Se ha deshabilitado la detección automática de sitios de intranet. Esta configuración asigna a la zona Internet todos los sitios Web de intranet y todas las rutas de acceso que cumplen la Convención de nomenclatura universal (UNC, Universal Naming Convention) y que no aparecen enumerados de forma específica en la zona Intranet local.

    • Se han deshabilitado la instalación a petición y las extensiones de explorador que no sean de Microsoft. Esta configuración impide que las páginas Web instalen componentes de modo automático y que se ejecuten las extensiones que no sean de Microsoft.

    • Se ha deshabilitado el contenido multimedia. Esta configuración impide que se ejecuten archivos de música, animación y clips de vídeo.

    Si deshabilita la Configuración de seguridad mejorada de Internet Explorer, las protecciones puestas en práctica para evitar el aprovechamiento de esta vulnerabilidad quedarían sin efecto. Si desea obtener más información sobre la Configuración de seguridad mejorada de Internet Explorer, consulte la guía de administración de la configuración de seguridad mejorada de Internet Explorer (en inglés). Para ello, visite el siguiente sitio Web de Microsoft:

    www.microsoft.com/downloads/details.aspx?FamilyID=d41b036c-e2e1-4960-99bb-9757f7e9e31b&DisplayLang=en

    ¿Existe alguna configuración de Windows Server 2003 que pueda hacer que se deshabilite la Configuración de seguridad mejorada de Internet Explorer?

    Sí. Es muy probable que los administradores de sistemas que hayan implementado Windows Server 2003 como servidor Terminal Server deshabiliten la Configuración de seguridad mejorada de Internet Explorer con el fin de que los usuarios de Terminal Server puedan utilizar Internet Explorer sin restricciones.

    CAN-2003-0814, CAN-2003-0815, CAN-2003-8016:  Los puntos vulnerables entre dominios de ExecCommand, de reemplazo de puntero de función y de dirección URL de secuencia de comandos podrían permitir la ejecución remota de código

    ¿Cuál es el alcance de estos puntos vulnerables?

    Estos puntos vulnerables podrían permitir a un operador de un sitio Web tener acceso a la información de otro dominio de Internet o Intranet o al sistema local del usuario mediante la introducción de un código diseñado especialmente cuando el explorador analiza direcciones URL de secuencia de comandos con formato especial.  Esto podría permitir al atacante ejecutar el archivo que desee en el sistema del usuario.  Aunque estos puntos vulnerables son ligeramente diferentes, los efectos son los mismos.

    ¿Cuál es la causa de estas vulnerabilidades?

    Estos puntos vulnerables son el resultado del hecho de que tres funciones de programación diferentes pueden evitar el modelo de seguridad entre dominios que implementa Internet Explorer.

    ¿Cuál es el modelo de seguridad entre dominios que implementa Internet Explorer?

    Una de las principales funciones de seguridad de un explorador es asegurar que las ventanas que están bajo el control de diferentes sitios Web no interfieran entre sí o tengan acceso a los datos de las demás, al tiempo que se sigue permitiendo que las de un mismo sitio interactúen. Para diferenciar entre ventanas de explorador cooperativas y no cooperativas, se ha creado el concepto de "dominio" en este contexto. Un dominio es un límite secundario: cualquier ventana abierta dentro del mismo dominio puede interactuar entre sí, a diferencia de las que pertenecen a dominios diferentes, que no pueden. El modelo de seguridad entre dominios es la parte de la arquitectura de seguridad que evita que las ventanas de dominios diferentes interfieran entre sí.

    El ejemplo más sencillo de dominio se asocia a los sitios Web. Si visita www.microsoft.com y allí abre una ventana para www.microsoft.com/security, las dos ventanas pueden interactuar entre sí porque pertenecen al mismo dominio, www.microsoft.com. Sin embargo, si visita www.microsoft.com y allí abre una ventana para otro sitio Web, el modelo de seguridad entre dominios protege a cada una de las ventanas de la otra. El concepto es incluso más extenso. El sistema de archivos de su equipo local también es un dominio. Así, por ejemplo, www.microsoft.com podría abrir una ventana y mostrar un archivo del disco duro. Sin embargo, como el sistema de archivos local está en un dominio diferente al del sitio Web, el modelo de seguridad entre dominios debería evitar que el sitio Web leyera el archivo que se está mostrando.

    El modelo de seguridad entre dominios de Internet Explorer se puede configurar mediante la configuración de zona de seguridad de Internet Explorer.

    ¿Qué son las zonas de seguridad de Internet Explorer?

    Las zonas de seguridad de Internet Explorer son un sistema que divide el contenido en línea en categorías o zonas basándose en el grado de confianza. Se pueden asignar dominios Web específicos a una zona, dependiendo de la confianza que se tenga en el contenido de cada dominio. Posteriormente, la zona restringe las capacidades del contenido Web según la directiva de la misma. De forma predeterminada, la mayoría de los dominios de Internet se tratan como parte de la zona Internet, que tiene una directiva predeterminada que impide a las secuencias de comandos y demás código activo tener acceso a los recursos del sistema local.

    ¿Qué problema tiene Internet Explorer para calcular la seguridad entre dominios?

    Internet Explorer evalúa la seguridad cuando una página Web solicita acceso a recursos de otra zona de seguridad. Sin embargo, existen tres puntos vulnerables en el modo en que se calcula la seguridad cuando se utilizan tres funciones de programación diferentes. Como resultado, un atacante podría evitar las comprobaciones de seguridad. Aunque estos puntos vulnerables son ligeramente diferentes, los efectos son los mismos.

    ¿Qué podría hacer un intruso que aprovechara estas vulnerabilidades?

    Un atacante podría usar estos puntos vulnerables para crear una página Web que le permitiera tener acceso a los datos de diversos dominios. Esto incluiría el acceso a la información de otros sitios Web, de archivos locales del sistema o de archivos ejecutables que ya existen en el sistema de archivos locales.  Esto también incluiría la ejecución de los archivos que desee el atacante en el sistema de archivos locales del usuario.

    ¿Cómo podría aprovechar un intruso estas vulnerabilidades?

    Un atacante podría aprovechar estos puntos vulnerables para crear una página Web o un mensaje de correo electrónico HTML e incitar al usuario a visitar la página o leer el mensaje. Cuando el usuario visitara la página o leyera el mensaje, el atacante podría hacer que se ejecutara una secuencia de comandos en el contexto de seguridad de la zona Mi PC.

    ¿Qué sistemas están más expuestos a esta vulnerabilidad?

    Cualquier sistema que tenga instalado Internet Explorer está expuesto a estos puntos vulnerables. Esta actualización se debe instalar inmediatamente en todos los sistemas. Sin embargo, para que se produzca una acción de este tipo, estos puntos vulnerables requieren que el usuario haya iniciado sesión y esté utilizando Internet Explorer. Por lo tanto, cualquier sistema en el que se utilice Internet Explorer de forma activa (como estaciones de trabajo del usuario) corre el riesgo de sufrir estos puntos vulnerables. Los sistemas en los que no se utilice Internet Explorer de forma activa (como la mayoría de los sistemas de servidor) corren un riesgo mínimo.

    ¿Cómo funciona esta actualización de seguridad?

    La actualización corrige estos puntos vulnerables garantizando que se realizan las comprobaciones de seguridad entre dominios correctas cuando se utilizan las funciones de programación afectadas.

    CAN-2003-0816: La vulnerabilidad de objeto XML puede permitir divulgación de información

    ¿Cuál es el alcance de esta vulnerabilidad?

    Esta vulnerabilidad implica la forma en que se transfiere la información de zona a un documento XML en Internet Explorer y puede provocar que un atacante pueda leer archivos locales en el sistema del usuario. Para aprovecharse de este punto, el atacante tendría que alojar un sitio Web que contuviera una página Web diseñada para aprovechar esta vulnerabilidad y a continuación persuadir a un usuario de que visitara dicho sitio. Después de que el usuario visite el sitio Web, el atacante podría leer archivos locales desde una ubicación conocida del sistema del usuario.

    ¿Cuál es la causa de esta vulnerabilidad?

    Esta vulnerabilidad se produce porque Internet Explorer valida de forma incorrecta la ruta de acceso al enlazar el contenido con un documento XML. Como resultado, el contenido del archivo local se puede enlazar con un documento XML desde la zona de Internet o Intranet.

    ¿Qué es un documento XML?

    Un documento XML es una representación de las especificaciones Level 1 Core y Core DOM Level 2 de Document Object Model (DOM) de World Wide Web Consortium (W3C). Estos documentos proporcionan soporte basado en normativas para el procesamiento de XML.  Si desea más información sobre documentos XML, visite MSDN.

    ¿Para qué puede utilizar un atacante esta vulnerabilidad?

    Un atacante que se ha aprovechado con éxito de esta vulnerabilidad podría obtener una lista de los sitios Web visitados recientemente, apropiarse de la información de sesión de los archivos de cookies del usuario o acceder a los datos de los archivos almacenados en una ubicación conocida del sistema de archivos del usuario.

    ¿Cómo podría aprovechar un intruso esta vulnerabilidad?

    Para aprovecharse de este punto, el atacante tendría que alojar un sitio Web o un mensaje de correo electrónico HTML que contuviera una página Web diseñada para aprovechar esta vulnerabilidad y a continuación persuadir a un usuario de que visitara dicho sitio o leyera el mensaje. Una vez que el usuario ha visitado el sitio Web o ha leído el mensaje de correo electrónico HTML, se le solicitará que descargue un archivo HTML. Si el usuario ha aceptado la descarga de este archivo HTML, un atacante podría leer archivos locales en el sistema del usuario.

    ¿Qué sistemas están más expuestos a esta vulnerabilidad?

    Cualquier sistema que tenga ins
    talado Internet Explorer corre el riesgo de sufrir esta vulnerabilidad, por lo que se debe instalar inmediatamente esta actualización en todos los sistemas. Sin embargo, para que se produzca una acción de este tipo, estos puntos vulnerables requieren que el usuario haya iniciado sesión y esté utilizando Internet Explorer. Por lo tanto, cualquier sistema en el que se utilice Internet Explorer de forma activa (como estaciones de trabajo del usuario) corre el riesgo de sufrir estos puntos vulnerables. Los sistemas en los que no se utilice Internet Explorer de forma activa (como la mayoría de los sistemas de servidor) corren un riesgo mínimo.

    ¿Cómo funciona esta actualización de seguridad?

    Esta actualización corrige la vulnerabilidad garantizando que la ruta de acceso se evalúe correctamente al enlazar el contenido con un objeto de datos. Como resultado, el contenido del archivo local no se puede enlazar con un documento XML desde la zona de Internet o Intranet.

    CAN-2003-0817: La vulnerabilidad de la operación de arrastrar y soltar puede permitir que se guarde código arbitrario en el sistema del usuario

    ¿Cuál es el alcance de esta vulnerabilidad?

    Esta vulnerabilidad implica el evento de arrastrar y guardar en Internet Explorer y podría dar como resultado que se guarde un archivo en el sistema del usuario cuando el usuario haga clic en un vínculo. El usuario no recibiría un cuadro de diálogo donde se le solicite que apruebe la descarga. Para aprovecharse de este punto, el atacante tendría que alojar un sitio Web que contuviera una página Web con un vínculo diseñada para aprovechar esta vulnerabilidad y a continuación persuadir a un usuario de que visitara dicho sitio.  Si el usuario ha hecho clic en el vínculo, el código que desee el atacante se guardará en la ubicación de destino del equipo del usuario.

    ¿Cuál es la causa de esta vulnerabilidad?

    Esta vulnerabilidad está provocada por la tecnología de arrastrar y soltar que valida de forma incorrecta determinados eventos dinámicos HTML (DHTML). Como resultado, se puede descargar un archivo en el sistema del usuario después de que el usuario haya hecho clic en un vínculo.

    ¿Qué son eventos DHTML?

    Los eventos DHTML son acciones especiales proporcionadas por el modelo de objetos DHTML. Se pueden utilizar en el código de secuencia de comandos para agregar contenido dinámico a un sitio Web. Si desea más información sobre documentos DHTML, visite MSDN.

    ¿Para qué puede utilizar un atacante esta vulnerabilidad?

    Un atacante que consiguiera aprovechar con éxito esta vulnerabilidad podría guardar el código que desee en el sistema de archivos locales del usuario. Aunque este código no se podría ejecutar directamente mediante esta vulnerabilidad, el sistema operativo podría abrir  el archivo si se suelta  en una ubicación sensible o un usuario podría hacer clic  en el archivo sin darse cuenta, provocando la ejecución del código del atacante.

    ¿Cómo podría aprovechar un intruso esta vulnerabilidad?

    Para aprovecharse de este punto, el atacante tendría que alojar un sitio Web que contuviera una página Web con un vínculo diseñada para aprovechar esta vulnerabilidad y a continuación persuadir a un usuario de que visitara dicho sitio. Si el usuario ha hecho clic en el vínculo, el código que desee el atacante se guardará en la ubicación de destino del equipo del usuario.

    ¿Qué sistemas están más expuestos a esta vulnerabilidad?

    Cualquier sistema que tenga instalado Internet Explorer corre el riesgo
    de sufrir esta vulnerabilidad, por lo que se debe instalar inmediatamente esta actualización en todos los sistemas. Sin embargo, para que se produzca una acción de este tipo, estos puntos vulnerables requieren que el usuario haya iniciado sesión y esté utilizando Internet Explorer. Por lo tanto, cualquier sistema en el que se utilice Internet Explorer de forma activa (como estaciones de trabajo del usuario) corre el riesgo de sufrir estos puntos vulnerables. Los sistemas en los que no se utilice Internet Explorer de forma activa (como la mayoría de los sistemas de servidor) corren un riesgo mínimo.

    ¿Cómo funciona esta actualización de seguridad?

    Esta actualización corrige esta vulnerabilidad mediante la evaluación correcta de las operaciones de arrastrar y soltar durante eventos DHTML.

     

     
    Información sobre la revisión de seguridad  

     


    Requisitos previos

    Microsoft ha probado las versiones de Windows y de Internet Explorer enumeradas en este boletín para determinar si estos puntos vulnerables podrían afectarlas y para confirmar que la actualización que describe este boletín las corrige.


    Para instalar la versión Internet Explorer 6 Service Pack 1 (SP1) de esta actualización, debe ejecutar Internet Explorer 6 SP1 (versión 6.00.2800.1106) en una de las siguientes versiones de Windows:

     

    ·          Windows XP 64-Bit Edition, Versión 2002

    ·          Windows XP SP1

    ·          Windows XP

    ·          Windows 2000 Service Pack 4 (SP4)

    ·          Windows 2000 Service Pack 3 (SP3)

    ·          Windows 2000 Service Pack 2 (SP2)

    ·          Windows NT Server 4.0 Service Pack 6a (SP6a)

    ·          Windows Millennium Edition

    ·          Windows 98 

    ·          Windows 98 Second Edition.

     

    Para instalar la versión Internet Explorer 6 de esta actualización, debe ejecutar Internet Explorer 6 (versión 6.00.2600.0000) en Windows XP.

    Para instalar la versión Internet Explorer 5.5 de esta actualización, debe ejecutar Internet Explorer 5.5 Service Pack 2 (versión 5.50.4807.2300) en una de las siguientes versiones de Windows:

     

    ·          Windows 2000 SP4

    ·          Windows 2000 SP3

    ·          Windows 2000 SP2

    ·          Windows NT Server 4.0 SP6a

    ·          Windows Millennium Edition

    ·          Windows 98 

    ·          Windows 98 Second Edition

     

    Para instalar la versión Internet Explorer 5.01 de esta actualización, debe ejecutar una de las siguientes versiones:

     

    ·          Internet Explorer 5.01 Service Pack 4 (versión 5.00.3700.1000) en Windows 2000 SP4

    ·          Internet Explorer 5.01 Service Pack 3 (versión 5.00.3502.1000) en Windows 2000 SP3

    ·          Internet Explorer 5.01 Service Pack 2 (versión 5.00.3502.1000) en Windows 2000 SP2


    Nota   Las versiones de Windows y de Internet Explorer no enumeradas en este artículo están en la fase ampliada del ciclo de vida de producto o ya no se admiten. Aunque puede instalar algunos de los paquetes de actualización descritos en este artículo en estas versiones de Windows y de Internet Explorer, Microsoft no ha probado estas versiones para determinar si estos puntos vulnerables podrían afectarlas y para confirmar que la actualización que describe este boletín las corrige. Microsoft recomienda que realice la actualización a una versión admitida de Windows y de Internet Explorer y, a continuación, que aplique la actualización adecuada. Si está ejecutando una versión de Windows o de Internet Explorer que se encuentra en la fase ampliada del ciclo de vida de producto y tiene un contrato de servicio técnico ampliado, póngase en contacto con el Gestor de cuentas técnicas (TAM) o el Consultor de desarrollo de aplicaciones (ADC) si desea más información sobre la actualización de su configuración. Si desea más información sobre cómo determinar qué versión de Internet Explorer está ejecutando, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

    164539 How to Determine Which Version of Internet Explorer Is Installed (Determinación de la versión de Internet Explorer instalada)

    Si desea más información sobre ciclos de vida admitidos en los componentes de Windows, visite el siguiente sitio Web de Microsoft: www.microsoft.com/windows/lifecycle/desktop/business/components.mspx
     

    Si desea más información sobre cómo obtener el último Service Pack de Internet Explorer 6, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

    328548 How to Obtain the Latest Service Pack for Internet Explorer 6 (Obtención del último Service Pack de Internet Explorer 6) (en inglés)

    Si desea más información sobre cómo obtener el último Service Pack de Internet Explorer 5.5, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

    276369 How to Obtain the Latest Service Pack for Internet Explorer 5.5 (Obtención del último Service Pack de Internet Explorer 5.5) (en inglés)

    Si desea más información sobre cómo obtener el último Service Pack de Internet Explorer 5.01, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

    267954 How to Obtain the Latest Service Pack for Internet Explorer 5.01 (Obtención del último Service Pack de Internet Explorer 5.01) (en inglés)

    Requisitos de reinicio

    Debe reiniciar el equipo para finalizar la instalación.  Después de reiniciar, ya no se necesita un inicio de sesión de administrador para ninguna versión de esta actualización.

     

    Estado de las actualizaciones anteriores

    Esta actualización sustituye a la MS03-032: agosto, 2003, Actualización acumulativa de Internet Explorer (822925).
     

    Parámetros de instalación

    Las versiones de Windows Server 2003 de esta actualización de seguridad (incluida Windows XP 64-Bit Edition, Versión 2003) admiten los siguientes parámetros de instalación:

    • /?: Mostrar la lista de parámetros de instalación.

    • /u: Usar el modo desatendido.

    • /f: Obligar a otros programas a cerrarse cuando se apaga el equipo.

    • /n: No hacer una copia de seguridad de los archivos que se van a eliminar.

    • /o: Sobrescribir los archivos OEM sin preguntar.

    • /z: No reiniciar al terminar la instalación.

    • /q: Usar el modo silencioso (sin interacción del usuario).

    • /l: Listar las revisiones instaladas.

    • /x: Extraer los archivos sin ejecutar el programa de instalación.

     

    Por ejemplo, para instalar la actualización de seguridad de Windows Server 2003 32-bit sin intervención del usuario, utilice el siguiente comando:

    windowsserver2003-kb824145-x86-enu.exe /u /q
     

    Para instalar la actualización de seguridad sin obligar al equipo a reiniciarse, introduzca el siguiente comando:

    windowsserver2003-kb824145-x86-enu.exe /z
     

    Nota   Estos parámetros pueden combinarse en el mismo comando.

    Si desea obtener información sobre cómo implementar esta actualización de seguridad con los servicios de actualización de software, visite el siguiente sitio Web de Microsoft:
    www.microsoft.com/windows2000/windowsupdate/sus/susoverview.asp
     

    Los otros paquetes de esta actualización de seguridad admiten los siguientes parámetros de instalación:

    • /q: Utilizar el modo silencioso o suprimir mensajes cuando se extraen los archivos.

    • /q:u: Utilizar el modo silencioso de usuario. El modo silencioso de usuario presenta algunos cuadros de diálogo al usuario.

    • /q:a: Utilizar el modo silencioso de administrador. El modo silencioso de administrador no presenta ningún cuadro de diálogo al usuario.

    • /t: ruta de acceso: Especificar la ubicación de la carpeta temporal que utiliza la instalación o la carpeta de destino donde se extraen los archivos (cuando se utiliza el parámetro /c).

    • /c: Extraer los archivos sin instalarlos. Si no especifica el parámetro /t: ruta de acceso, se le solicita que indique una carpeta de destino.

    • /c: ruta de acceso: Especificar la ruta de acceso y el nombre del archivo Setup .inf o .exe.

    • /r:n: No reiniciar nunca el equipo después de la instalación.

    • /r:i: Pedir al usuario que reinicie el equipo si es necesario, salvo cuando este parámetro se utilice con el parámetro /q:a.

    • /r:a: Reiniciar siempre el equipo después de la instalación.

    • /r:s: Reiniciar el equipo después de la instalación sin indicárselo al usuario.

    • /n:v: No comprobar la versión. Utilizar este parámetro con precaución para instalar la actualización de cualquier versión de Internet Explorer.

     

    Por ejemplo, para instalar la actualización sin intervención del usuario y sin obligar al equipo a reiniciarse, utilice el siguiente comando:

    q824145.exe /q:a /r:n
     

    Comprobación de la instalación de la actualización

    Para comprobar que la actualización de seguridad está instalada en el equipo, utilice la herramienta Microsoft Baseline Security Analyzer (MBSA). Para conseguir información adicional sobre MBSA, haga clic en el número de artículo siguiente para ver el artículo de Microsoft Knowledge Base:

    320454 Ya está disponible Microsoft Baseline Security Analyzer Version 1.1.1

    También puede verificar los archivos instalados por la actualización de seguridad mediante uno de los siguientes métodos:

    o       Confirmar que Q824145 está en el campo Actualizar versiones del cuadro de diálogo Acerca de Internet Explorer. No puede utilizar este método en Windows Server 2003 o en Windows XP 64-Bit Edition, Versión 2003 porque el paquete no actualiza el campo Actualizar versiones de estas versiones de Windows.

     

    o       Compare las versiones de los archivos actualizados del equipo con los archivos enumerados en la sección "Información sobre archivos" de este boletín.

     

    o       Confirme que existen las siguientes entradas de registro:

        • Windows Server 2003 y Windows XP 64-Bit Edition, Versión 2003:

          Confirme que el valor DWORD Installed con un valor de datos de 1 aparece en la siguiente clave del Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB824145

        • En el resto de versiones de Windows:

          Confirme que el valor DWORD IsInstalled con un valor de datos de 1 aparece en la siguiente clave del Registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{96543d59-497a-4801-a1f3-5936aacaf7b1}

     

    Información sobre la eliminación

    Para eliminar la actualización, utilice la herramienta Agregar o quitar programas del Panel de control. Haga clic en Internet Explorer Q824145 y, a continuación, en Cambiar/Quitar (o haga clic en Agregar o quitar).

    En Windows Server 2003 y Windows XP 64-Bit Edition, Versión 2003, los administradores del sistema pueden utilizar la utilidad Spunist.exe para quitar esta actualización de seguridad. La utilidad Spuninst.exe se encuentra en la carpeta %Windir%\$NTUninstallKB824145$\Spuninst. Esta utilidad admite los siguientes parámetros de instalación:

    • /?: Mostrar la lista de parámetros de instalación.

    • /u: Usar el modo desatendido.

    • /f: Obligar a otros programas a cerrarse cuando se apaga el equipo.

    • /z: No reiniciar al terminar la instalación.

    • /q: Usar el modo silencioso (sin interacción del usuario).

     

    En el resto de versiones de Windows, los administradores del sistema pueden utilizar la utilidad Ieuninst.exe para eliminar esta actualización. Esta actualización de seguridad instala la utilidad Ieuninst.exe en la carpeta %Windir%. Esta utilidad admite los siguientes parámetros de instalación:

    • /?: Mostrar la lista de parámetros admitidos.

    • /z: No reiniciar al terminar la instalación.

    • /q: Usar el modo silencioso (sin interacción del usuario).

     

    Por ejemplo, para eliminar esta actualización de forma silenciosa, utilice el siguiente comando:

    c:\windows\ieuninst /q c:\windows\inf\q824145.inf

    Nota   Este comando asume que Windows está instalado en la carpeta C:\Windows.

     

    Información sobre archivos

    La versión inglesa de esta revisión tiene los atributos de archivo (o posteriores) indicados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en el horario universal coordinado (UTC). Cuando se consulta la información de archivo, ésta se convierte al horario local. Para averiguar la diferencia entre el horario universal coordinado y el local, utilice la ficha Zona horaria en la herramienta Fecha y hora del Panel de control.
     

    Para obtener información sobre la actualización de seguridad específica para su plataforma, haga clic en el vínculo apropiado:
     

     

    Internet Explorer 6 SP1 para Windows XP, Windows XP SP1, Windows 2000 SP2, Windows 2000 SP3, Windows 2000 SP4, Windows NT 4.0 SP6a, Windows Millennium Edition, Windows 98 y Windows 98 Second Edition 

     

     

     

     

    Versión Tamaño Fecha Nombre de Archivo
    6.0.2800.1276 2,799,104 10-16-2003 Mshtml.dll
    6.0.2800.1276 1,339,392 10-16-2003 Shdocvw.dll
    6.0.2800.1276 395,264 10-16-2003 Shlwapi.dll
    6.0.2800.1282 484,352 10-17-2003 Urlmon.dll

     

     

    Internet Explorer 6 SP1 (64-Bit) para Windows XP 64-Bit Edition, Versión 2002

     

     

     

     
    Versión Tamaño Fecha Nombre de Archivo
    6.0.2800.1276 9,082,368 10-16-2003 Mshtml.dll
    6.0.2800.1276 3,649,536 10-16-2003 Shdocvw.dll
    6.0.2800.1276 1,095,168 10-16-2003 Shlwapi.dll
    6.0.2800.1282 1,414,656 10-20-2003 Urlmon.dll

     

     

    Internet Explorer 6 SP1 en Windows Server 2003

     

     

     

     
    Versión Tamaño Fecha Nombre de Archivo
    RTMQFE
    6.0.3790.96 509,440 10-24-2003 urlmon.dll
    6.0.3790.94 2,918,400 10-24-2003 mshtml.dll
    6.0.3790.94 1,394,688 10-24-2003 shdocvw.dll
    RTMGDR
    6.0.3790.94 509,440 10-24-2003 urlmon.dll
    6.0.3790.94 2,918,400 10-24-2003 mshtml.dll
    6.0.3790.94 1,394,688 10-24-2003 shdocvw.dll

     

     

    Internet Explorer 6 SP1 (64-Bit) en versiones Windows 2003 64-Bit y en Windows XP 64-Bit Edition, Versión 2003

     

     

     

     
    Versión Tamaño Fecha Nombre de Archivo
    RTMQFE
    6.0.3790.94 8,211,968 10-24-2003 mshtml.dll
    6.0.3790.94 3,360,256 10-24-2003 shdocvw.dll
    6.0.3790.96 1,271,808 10-24-2003 urlmon.dll
    RTMQFE - WOW
    6.0.3790.94 2,918,400 10-24-2003 wmshtml.dll
    6.0.3790.94 1,394,688 10-24-2003 wshdocvw.dll
    6.0.3790.96 509,440 10-24-2003 wurlmon.dll
    RTMGDR
    6.0.3790.94 8,211,968 10-24-2003 mshtml.dll
    6.0.3790.94 3,360,768 10-24-2003 shdocvw.dll
    6.0.3790.94 1,271,808 10-24-2003 urlmon.dll
    RTMGDR - WOW
    6.0.3790.94 2,918,400 10-24-2003 wmshtml.dll
    6.0.3790.94 1,394,688 10-24-2003 wshdocvw.dll
    6.0.3790.94 509,440 10-24-2003 wurlmon.dll

     

     

    Internet Explorer 6 para Windows XP

     

     

     

     
    Versión Tamaño Fecha Nombre de Archivo
    6.0.2734.1600 2,763,776 10-16-2003 mshtml.dll
    6.0.2722.900 34,304 08-15-2003 pngfilt.dll
    6.0.2715.400 548,864 03-04-2002 shdoclc.dll
    6.0.2734.1600 1,336,832 10-16-2003 shdocvw.dll
    6.0.2730.1200 391,168 08-15-2003 shlwapi.dll
    6.0.2715.400 109,568 08-15-2003 url.dll
    6.0.2734.200 481,792 10-02-2003 urlmon.dll
    6.0.2718.400 583,168 06-06-2002 wininet.dll

     

     

    Internet Explorer 5.5 SP2 para Windows 2000 SP2, Windows 2000 SP3, Windows 2000 SP4, Windows NT 4.0 SP6a, Windows Millennium Edition, Windows 98 y Windows 98 Second Edition

     

     

     

     
    Versión Tamaño Fecha Nombre de Archivo
    5.50.4934.1600 2,760,976 10-16-2003 Mshtml.dll
    5.50.4922.900 48,912 10-16-2002 Pngfilt.dll
    5.50.4934.1600 1,149,712 10-16-2003 Shdocvw.dll
    5.50.4930.1200 300,816 06-12-2003 Shlwapi.dll
    5.50.4915.500 84,240 03-04-2002 Url.dll
    5.50.4934.200 451,344 10-02-2003 Urlmon.dll
    5.50.4918.600 481,552 06-06-2002 Wininet.dll

     

     

    Internet Explorer 5.01 para Windows 2000 SP2

     

     

     

     
    Versión Tamaño Fecha Nombre de Archivo
    5.0.3523.1700 2,282,768 10-17-2003 Mshtml.dll
    5.0.3521.1800 48,912 08-19-2003 Pngfilt.dll
    5.0.3523.1700 1,099,536 10-17-2003 Shdocvw.dll
    5.0.3521.1800 279,824 08-19-2003 Shlwapi.dll
    5.50.4915.500 84,240 03-04-2002 Url.dll
    5.0.3523.200 409,360 10-02-2003 Urlmon.dll
    5.0.3521.1800 445,200 08-19-2003 Wininet.dll

     

     

    Internet Explorer 5.01 para Windows 2000 SP3

     

     

     

     
    Versión Tamaño Fecha Nombre de Archivo
    5.0.3523.1700 2,282,768 10-17-2003 mshtml.dll
    5.0.3521.1800 48,912 08-19-2003 pngfilt.dll
    5.0.3523.1700 1,099,536 10-17-2003 shdocvw.dll
    5.0.3521.1800 279,824 08-19-2003 shlwapi.dll
    5.50.4915.500 84,240 03-04-2002 url.dll
    5.0.3523.200 409,360 10-02-2003 urlmon.dll
    5.0.3521.1800 445,200 08-19-2003 wininet.dll

     

     

    Internet Explorer 5.01 para Windows 2000 SP4

     

     

     

     
    Versión Tamaño Fecha Nombre de Archivo
    5.0.3810.1700 2,282,768 10-17-2003 mshtml.dll
    5.0.3806.1200 48,912 06-12-2003 pngfilt.dll
    5.0.3810.1700 1,099,536 10-17-2003 shdocvw.dll
    5.0.3806.1200 279,824 06-12-2003 shlwapi.dll
    5.50.4915.500 84,240 03-04-2002 url.dll
    5.0.3810.200 409,360 10-02-2003 urlmon.dll
    5.0.3806.1200 445,200 06-12-2003 wininet.dll

     


    Agradecimientos:

    Microsoft agradece por trabajar con nosotros para proteger a los clientes a:

    • Jelmer (jkuperus@planet.nl) la comunicación del problema del objeto XML (CAN-2003-0817).
       

    Obtención de otras actualizaciones de seguridad:

    Otras Actualizaciones de Seguridad están disponibles en las siguientes localizaciones:

    • Dispone de actualizaciones de seguridad en el Centro de Descargas de Microsoft y pueden ser más fácilmente encontradas escribiendo en el apartado de búsqueda "actualización de seguridad" ("security_patch"). 

    • Las actualizaciones de seguridad para cada una de las plataformas las encontrará en el sitio web Windows Update: http://windowsupdate.microsoft.com


    Soporte técnico:


    Recursos de Seguridad:

    Vea también http://support.microsoft.com/default.aspx?scid=kb;ES-ES;306460 para la lista de los actualizaciones de seguridad que tienen limitaciones en la detección con la herramienta de MBSA


    Renuncia:

    La información proporcionada en la Knowledge Base de Microsoft se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda otra garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales consecuenciales, pérdida de beneficios o daños especiales, aun en el caso de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales y, por tanto, la limitación anterior puede no serle aplicable.


    Revisiones:

    • V1.0 (11 de Noviembre de 2003): Publicación del Boletín.

       

     

     

     
     
    Recursos
    Webcasts de Seguridad
    Newsletter de Seguridad
    Boletines de Seguridad
    Glosario español
    Actualice su PC
     
    Comunidad
    Learning Center
    Videos de Seguridad
    Weblogs
     
     

    ©2015 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
    Microsoft