Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified

Boletín de seguridad de Microsoft MS05-022

Una vulnerabilidad en MSN Messenger podría permitir la ejecución remota de código (896597)

Publicado: 12 de abril de 2005
Versión: 1.0

Resumen

Quién debería leer este documento: Los clientes que usen MSN Messenger

Consecuencia de la vulnerabilidad: Ejecución remota de código

Gravedad máxima: Crítica

Recomendación: Los clientes deberían aplicar esta actualización inmediatamente.

Actualizaciones de seguridad reemplazadas: Este boletín sustituye a una actualización de seguridad anterior. Para obtener la lista completa consulte la sección Preguntas más frecuentes (P+F) de este boletín.

Advertencias: Ninguna

Ubicaciones de descarga de la actualización de seguridad y software probado:

Software afectado:

MSN Messenger 6.2: Descargar la actualización

Software no afectado:

MSN Messenger 7.0

Los programas de esta lista han sido probados para determinar si las versiones están afectadas. Por lo que se refiere a otras versiones, quizá ya no sean compatibles con las actualizaciones de seguridad o no se vean afectadas. Para determinar el ciclo de vida del soporte técnico de su producto y versión, visite el sitio Web Ciclo de vida del soporte técnico de Microsoft.

Información general

Resumen ejecutivo

Resumen ejecutivo:

Esta actualización resuelve una vulnerabilidad descubierta recientemente, de la que se ha informado de forma privada. La vulnerabilidad se documenta en este boletín, en el apartado "Detalles de la vulnerabilidad".

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

Gravedad e identificadores de vulnerabilidad:

Identificadores de vulnerabilidad

Consecuencia de la vulnerabilidad

MSN Messenger 6.2

Vulnerabilidad de MSN Messenger (CAN-2005-0562)

Ejecución remota de código

Crítica

Gravedad conjunta de todas las vulnerabilidades

 

Crítica

Esta clasificación está basada en los tipos de sistemas afectados por la vulnerabilidad, sus patrones típicos de implementación y el efecto que podría tener un ataque en el que se aprovechara la vulnerabilidad.

Preguntas más frecuentes (P+F) relacionadas con esta actualización de seguridad

¿Qué actualizaciones reemplaza esta versión?
Esta actualización de seguridad reemplaza a una actualización de seguridad anterior. El identificador del boletín de seguridad y sistemas operativos afectados se enumeran en la siguiente tabla:

ID de boletín

MSN Messenger 6.2

MS05-009

Reemplazado

¿Se puede utilizar Microsoft Baseline Security Analyzer (MBSA) para determinar si esta actualización es necesaria?
No. MBSA no admite MSN Messenger y no puede detectar si la actualización es necesaria para el software afectado. Sin embargo, Microsoft ha desarrollado una versión de la herramienta Enterprise Update Scanning Tool (EST) que ayudará a los clientes a determinar si necesitan la actualización de seguridad de MSN Messenger.

Para obtener información detallada acerca de los programas que MBSA no detecta actualmente, consulte el artículo 306460 de Microsoft Knowledge Base. Para obtener más información acerca de MBSA, visite el sitio Web de MBSA.

¿Qué es la herramienta Enterprise Update Scanning Tool (EST)?
Como parte de un compromiso continuo para proporcionar herramientas de detección para actualizaciones de tipo de boletín, Microsoft ofrece una herramienta de detección independiente siempre que Microsoft Baseline Security Analyzer (MBSA) y la herramienta Office Detection Tool (ODT) no puedan detectar si la actualización es necesaria para un ciclo de versión MSRC. Esta herramienta independiente se denomina Enterprise Update Scanning Tool (EST) y está diseñada para los administradores de empresa. Cuando se crea una versión de la herramienta Enterprise Update Scanning Tool para un boletín específico, los clientes pueden ejecutar la herramienta desde una interfaz de línea de comandos y ver los resultados del archivo de salida XML. Para ayudar a los clientes a utilizar mejor la herramienta, se proporcionará documentación detallada con la misma. También existe una versión de la herramienta que ofrece una experiencia integrada para los administradores de SMS.

¿Se puede utilizar una versión de la herramienta Enterprise Update Scanning Tool (EST) para determinar si esta actualización es necesaria?
Sí. Microsoft ha creado una versión de la herramienta EST que puede determinar si se necesita aplicar esta actualización. Para obtener más información acerca de la versión de EST que se publica este mes, visite el siguiente sitio Web de Microsoft. Para obtener información de implementación más detallada acerca de la versión de EST que se publica este mes, visite el siguiente sitio Web de Microsoft.

También existe una versión de esta herramienta que los clientes de SMS pueden obtener del siguiente sitio Web de Microsoft. Esta herramienta también puede estar disponible para los clientes de SMS en el sitio Web de SMS.

¿Se puede utilizar Systems Management Server (SMS) para determinar si esta actualización es necesaria?
No. SMS usa MBSA para la detección y éste no detecta esta actualización. Para obtener más información acerca de SMS, visite el sitio Web de SMS.

No obstante, existe una versión de EST que pueden obtener los clientes de SMS que ofrece una experiencia integrada para los administradores de SMS en el siguiente sitio Web de Microsoft.

La herramienta Security Update Inventory Tool se precisa para detectar Microsoft Windows y otros productos de Microsoft afectados. Para obtener más información acerca de las limitaciones de Security Update Inventory Tool, consulte el artículo 306460 de Microsoft Knowledge Base.

Para obtener más información acerca de SMS, visite el sitio Web de SMS.

Puede implementar esta actualización con la característica Inventory and Software Distribution de SMS.

Detalles de la vulnerabilidad

Vulnerabilidad de MSN Messenger (CAN-2005-0562):

Existe una vulnerabilidad de ejecución remota de código en MSN Messenger que podría permitir a un intruso que consiga aprovechar esta vulnerabilidad tomar el control completo del sistema afectado.

Factores atenuantes de la vulnerabilidad de MSN Messenger (CAN-2005-0562):

De forma predeterminada, MSN Messenger no le permite recibir mensajes anónimos. En primer lugar, el atacante debe convencerlo de añadirlo a su lista de contactos.

Soluciones para la vulnerabilidad de MSN Messenger (CAN-2005-0562):

Microsoft ha probado las siguientes soluciones provisionales. Aunque estas soluciones provisionales no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución temporal reduce la funcionalidad, se identifica en la siguiente sección.

Revise todos los contactos que se encuentran actualmente en su lista y elimine o bloquee cualquiera que no conozca, en el que no confíe o que ya no necesite.

No acepte recibir transferencias de archivos de contactos que no conoce o en quienes no confía.

Bloquee el acceso a MSN Messenger y Web Messenger en un entorno corporativo.

Bloquee el acceso al puerto de salida 1863 del entorno corporativo. Tenga en cuenta que el servicio de MSN Messenger se conecta a través del puerto 1863 cuando se establece una conexión directa. Cuando no se puede establecer una conexión directa, el servicio de MSN Messenger se conecta a través del puerto 80.

Bloquee el acceso HTTP a gateway.messenger.hotmail.com. Si desea bloquear el acceso a MSN Web Messenger también tendrá que bloquear el acceso HTTP a webmessenger.msn.com.

Consecuencias de la solución: Los clientes de MSN Messenger no podrán conectarse a la red de MSN Messenger

P+F sobre la vulnerabilidad de MSN Messenger (CAN-2005-0562):

¿Está afectada por esta vulnerabilidad la versión beta de MSN Messenger 7.0?
Sí. Esta vulnerabilidad se ha comunicado después de la publicación de la versión beta de MSN Messenger 7.0. Se recomienda a los clientes que ejecutan la versión beta 7.0 de MSN Messenger que realicen la actualización a la versión comercial del software que no es vulnerable.

¿Cuál es el alcance de esta vulnerabilidad?
Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado.

¿Cuál es la causa de esta vulnerabilidad?
MSN Messenger tiene la capacidad de procesar y mostrar archivos con el formato de imagen GIF. Es posible que MSN Messenger no procese de forma adecuada una imagen GIF mal formada, con altura y anchura incorrectas.

¿Qué es GIF?
GIF son las siglas de Graphic Interchange Format, formato de intercambio de gráficos. Se trata de una paleta de 256 colores antigua que era más compatible con las tarjetas de vídeo de 8 bits. Ya hace tiempo que ha sido reemplazado por los formatos gráficos PNG y TIF.

¿Para qué puede utilizar un atacante esta vulnerabilidad?
Un atacante que aprovechara con éxito esta vulnerabilidad podría obtener el control completo del sistema afectado.

¿Quién podría aprovechar esta vulnerabilidad?
Un atacante podría aprovechar esta vulnerabilidad si convence a un usuario para que lo agregue a la lista de contactos y le envía un icono gestual o una imagen para la visualización diseñados especialmente.

¿Qué sistemas están más expuestos a esta vulnerabilidad?
Los sistemas con más riesgo de sufrir un ataque son las estaciones de trabajo y los servidores de Servicios de Terminal Server. Los servidores podrían correr un mayor riesgo si algún usuario que no tenga las suficientes credenciales administrativas tiene la capacidad de iniciar sesiones en el servidor y ejecutar programas. Sin embargo, las prácticas recomendadas desaconsejan permitir esto.

¿Están afectados Windows 98, Windows 98 Segunda edición o Windows Millennium Edition de forma crítica por esta vulnerabilidad?
Sí. Los clientes que ejecuten una versión afectada de MSN Messenger deben instalar la versión actualizada de MSN Messenger.

¿Cómo funciona esta actualización?
La actualización elimina la vulnerabilidad al modificar la forma en que MSN Messenger valida los archivos GIF antes de procesarlos.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable.

¿Qué relación tiene esta vulnerabilidad con la vulnerabilidad de procesamiento de PNG corregida en MS05-009?
Ambas vulnerabilidades afectan a los formatos de gráficos. Sin embargo, esta actualización corrige una nueva vulnerabilidad en un tipo de formato de gráficos que no se había tratado como parte de MS05-009. MS05-009 ayuda a proteger el sistema frente a la vulnerabilidad descrita en ese boletín, pero no se corrige esta nueva. Esta actualización reemplaza a la de MS05-009 para MSN Messenger.

Información sobre la actualización de seguridad

Software afectado:

Para obtener información sobre la actualización de seguridad específica para su software afectado, haga clic en el vínculo apropiado:

MSN Messenger 6.2

Requisitos previos
Esta actualización de seguridad requiere MSN Messenger 6.2.

Requisito de reinicio

Esta actualización podría requerir el reinicio del equipo.

Información sobre la eliminación

Esta actualización no se puede desinstalar.

Comprobación de la instalación de la actualización

Para comprobar si la actualización de seguridad está instalada en un sistema, realice los pasos siguientes:

1. En MSN Messenger, haga clic en Ayuda y, a continuación, en Acerca de.

2. Compruebe el número de versión.

Si el número de versión es 6.2.208 o posterior, la actualización se ha instalado correctamente.

Agradecimientos

Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

hongzhenzhou por informar de la vulnerabilidad de MSN Messenger (CAN-2005-0562).

Obtención de otras actualizaciones de seguridad:

Las actualizaciones para otros problemas de seguridad están disponibles en las ubicaciones siguientes:

En el Centro de descarga de Microsoft hay actualizaciones de seguridad disponibles. Si realiza una búsqueda de las palabras clave “revisión de seguridad” podrá encontrarlas fácilmente.

Hay disponibles actualizaciones para las plataformas de usuarios en el sitio Web de Windows Update.

Soporte técnico:

Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico de los Servicios de soporte técnico de Microsoft en 1-866-PCSAFETY. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad son gratuitas.

Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad son gratuitas. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite el sitio Web de soporte técnico internacional de Microsoft.

Recursos de seguridad:

El sitio Web Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft.

Microsoft Software Update Services

Microsoft Baseline Security Analyzer (MBSA)

Windows Update 

Catálogo de Windows Update: Para obtener más información acerca del Catálogo de Windows Update, consulte el artículo 323166 de Microsoft Knowledge Base.

Office Update 

Software Update Services:

Software Update Services (SUS) permite a los administradores implementar con rapidez y confiabilidad las actualizaciones críticas y de seguridad más recientes en servidores basados en Windows 2000 y Windows Server 2003, y en sistemas de escritorio donde se ejecute Windows 2000 Professional o Windows XP Professional.

Para obtener más información acerca de cómo implementar esta actualización de seguridad con Software Update Services, visite el sitio Web de Software Update Services.

Systems Management Server:

Microsoft Systems Management Server (SMS) ofrece una solución empresarial altamente configurable para la administración de las actualizaciones. Mediante SMS, los administradores pueden identificar los sistemas basados en Windows que necesitan actualizaciones de seguridad, así como realizar la implementación controlada de las actualizaciones en la empresa con una repercusión mínima para los usuarios finales. Para obtener más información acerca de cómo pueden utilizar SMS 2003 los administradores para implementar actualizaciones de seguridad, visite el sitio Web de administración de revisiones de seguridad de SMS 2003. Los usuarios de SMS 2.0 también pueden usar Software Updates Service Feature Pack como ayuda para la implementación de actualizaciones de seguridad. Para obtener más información acerca de SMS, visite el sitio Web de SMS.

Nota SMS utiliza las herramientas Microsoft Baseline Security Analyzer, Microsoft Office Detection Tool y Enterprise Update Scanning Tool para proporcionar un amplio soporte técnico en la detección e implementación de las actualizaciones indicadas en los boletines de seguridad. Puede que estas herramientas no detecten algunas actualizaciones de software. Los administradores pueden usar las prestaciones de inventario de SMS en estos casos para concretar qué actualizaciones se deben aplicar en cada sistema. Para obtener más información acerca de este procedimiento, visite el siguiente sitio Web, en inglés. Algunas actualizaciones de seguridad pueden requerir derechos administrativos y que se reinicie el sistema. Los administradores pueden usar la utilidad Elevated Rights Deployment Tool (disponible en SMS 2003 Administration Feature Pack y en SMS 2.0 Administration Feature Pack) para instalar estas actualizaciones.

Renuncia:

La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones: 

V1.0 12 de abril de 2005: Publicación del boletín



©2017 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft