Resumen del boletín de seguridad de Microsoft de junio de 2006

Publicado: junio 13, aaaa | Actualizado: junio 13, aaaa

Versión: 1.0

En el siguiente sitio Web existe una versión de esta información para el usuario final.

Proteja su PC: En las ubicaciones siguientes, Microsoft proporciona información sobre cómo puede ayudar a proteger su PC:

•	Los usuarios finales pueden visitar el sitio Web Proteja su PC.
•	Los profesionales de tecnologías de la información pueden visitar el sitio Web Centro de instrucciones de seguridad.

Estrategias de administración de actualizaciones: En el sitio Web Administración de revisiones, actualizaciones de seguridad y descargas, se proporciona información adicional acerca de las prácticas recomendadas de Microsoft para aplicar actualizaciones de seguridad.

Comunidad de la zona de seguridad para profesionales de tecnologías de la información: Aprenda a mejorar la seguridad y a optimizar la infraestructura informática y comparta sus problemas de seguridad con otros profesionales del sector en el sitio Web IT Pro Security Zone (en inglés).

Servicio de notificación de seguridad de Microsoft: Para recibir notificaciones automáticas por correo electrónico siempre que se emitan boletines de seguridad de Microsoft, suscríbase al Servicio de notificación de seguridad de Microsoft.

Resumen

En este documento informativo se incluyen actualizaciones para vulnerabilidades descubiertas recientemente. Estas vulnerabilidades, ordenadas en función de su gravedad, son:

Critica (8)

Identificador del boletín	Boletín de seguridad de Microsoft MS06-021
Título del boletín	Actualización de seguridad acumulativa para Internet Explorer (916281)
Resumen ejecutivo	Esta actualización resuelve varias vulnerabilidades en Internet Explorer que podrían permitir la ejecución remota de código.
Nivel de gravedad máxima	Crítica
Consecuencia de la vulnerabilidad	Ejecución remota de código
Software afectado	Windows, Internet Explorer. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Identificador del boletín	Boletín de seguridad de Microsoft MS06-022
Título del boletín	Una vulnerabilidad en el renderizado de imágenes ART podría permitir la ejecución remota de código (918439)
Resumen ejecutivo	Esta actualización resuelve una vulnerabilidad que podría permitir la ejecución remota de código al utilizar Internet Explorer.
Nivel de gravedad máxima	Crítica
Consecuencia de la vulnerabilidad	Ejecución remota de código
Software afectado	Windows, Internet Explorer. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Identificador del boletín	Boletín de seguridad de Microsoft MS06-023
Título del boletín	Una vulnerabilidad en Microsoft JScript podría permitir la ejecución remota de código (917344)
Resumen ejecutivo	Esta actualización resuelve una vulnerabilidad en JScript que podría permitir la ejecución remota de código al utilizar Internet Explorer.
Nivel de gravedad máxima	Crítica
Consecuencia de la vulnerabilidad	Ejecución remota de código
Software afectado	Windows, JScript. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Identificador del boletín	Boletín de seguridad de Microsoft MS06-024
Título del boletín	Una vulnerabilidad en el Reproductor de Windows Media podría permitir la ejecución remota de código (917734)
Resumen ejecutivo	Esta actualización resuelve una vulnerabilidad en el Reproductor de Windows Media que podría permitir la ejecución remota de código.
Nivel de gravedad máxima	Crítica
Consecuencia de la vulnerabilidad	Ejecución remota de código
Software afectado	Windows, Reproductor de Windows Media. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Identificador del boletín	Boletín de seguridad de Microsoft MS06-025
Título del boletín	Una vulnerabilidad en el servicio de acceso remoto y enrutamiento podría permitir la ejecución remota de código (911280)
Resumen ejecutivo	Esta actualización resuelve vulnerabilidades en Windows que podrían permitir la ejecución remota de código.
Nivel de gravedad máxima	Crítica
Consecuencia de la vulnerabilidad	Ejecución remota de código
Software afectado	Windows. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Identificador del boletín	Boletín de seguridad de Microsoft MS06-026
Título del boletín	Una vulnerabilidad en el motor de proceso de gráficos podría permitir la ejecución remota de código (918547)
Resumen ejecutivo	Esta actualización resuelve una vulnerabilidad en Windows que podría permitir la ejecución remota de código.
Nivel de gravedad máxima	Crítica
Consecuencia de la vulnerabilidad	Ejecución remota de código
Software afectado	Windows. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Identificador del boletín	Boletín de seguridad de Microsoft MS06-027
Título del boletín	Una vulnerabilidad en Microsoft Word podría permitir la ejecución remota de código (917336)
Resumen ejecutivo	Esta actualización resuelve una vulnerabilidad en Word que podría permitir la ejecución remota de código.
Nivel de gravedad máxima	Crítica
Consecuencia de la vulnerabilidad	Ejecución remota de código
Software afectado	Office, Works. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Identificador del boletín	Boletín de seguridad de Microsoft MS06-028
Título del boletín	Una vulnerabilidad en Microsoft PowerPoint podría permitir la ejecución remota de código (916768)
Resumen ejecutivo	Esta actualización resuelve una vulnerabilidad en PowerPoint que podría permitir la ejecución remota de código.
Nivel de gravedad máxima	Crítica
Consecuencia de la vulnerabilidad	Ejecución remota de código
Software afectado	PowerPoint. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Top of section

Importante (3)

Identificador del boletín	Boletín de seguridad de Microsoft MS06-029
Título del boletín	Una vulnerabilidad en Microsoft Exchange Server con Outlook Web Access podría permitir la incrustación de secuencias de comandos (912442)
Resumen ejecutivo	Esta actualización resuelve una vulnerabilidad en Outlook Web Access que podría permitir la ejecución remota de código. La intervención del usuario es necesaria para que un atacante pueda aprovechar esta vulnerabilidad.
Nivel de gravedad máxima	Importante
Consecuencia de la vulnerabilidad	Ejecución remota de código
Software afectado	Exchange. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Identificador del boletín	Boletín de seguridad de Microsoft MS06-030
Título del boletín	Una vulnerabilidad en el bloque de mensajes del servidor (SMB) podría permitir la elevación de privilegios (914389)
Resumen ejecutivo	Esta actualización resuelve varias vulnerabilidades en Windows. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.
Nivel de gravedad máxima	Importante
Consecuencia de la vulnerabilidad	Elevación de privilegios
Software afectado	Windows. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Identificador del boletín	Boletín de seguridad de Microsoft MS06-032
Título del boletín	Una vulnerabilidad en TCP/IP podría permitir la ejecución remota de código (917953)
Resumen ejecutivo	Esta actualización resuelve una vulnerabilidad en Windows. De forma predeterminada, el servicio de acceso remoto y enrutamiento está desactivado en las versiones de sistema operativo afectadas.
Nivel de gravedad máxima	Importante
Consecuencia de la vulnerabilidad	Ejecución remota de código
Software afectado	Windows. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Top of section

Moderada (1)

Identificador del boletín	Boletín de seguridad de Microsoft MS06-031
Título del boletín	Una vulnerabilidad de autenticación mutua en RPC podría permitir ataques de suplantación (917736)
Resumen ejecutivo	Esta actualización resuelve una vulnerabilidad en Windows. El usuario tendría que conectarse a un servidor RPC malintencionado para que se produjera la suplantación. El atacante no podría obligar a los usuarios a conectarse a un servidor RPC malintencionado. Windows 2000 Service Pack 4 es la única versión afectada.
Nivel de gravedad máxima	Moderada
Consecuencia de la vulnerabilidad	Suplantación
Software afectado	Windows. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Top of section

Ubicaciones de descarga y software afectado

¿Cómo se usa esta tabla?

Esta tabla se puede utilizar para conocer las actualizaciones de seguridad que quizá deba instalar. Debe revisar cada programa o componente enumerado para ver si hay alguna actualización de seguridad necesaria. Si un componente o programa aparece, se indica la consecuencia de la vulnerabilidad y también se proporciona un vínculo a la actualización de software disponible.

En la tabla, un número entre corchetes [x] indica que hay una nota que explica más acerca del problema. Estas notas se encuentran al final de la tabla.

Ubicaciones de descarga y software afectado para MS06-021 a MS06-026

	Detalles	Detalles	Detalles	Detalles	Detalles	Detalles
Identificador del boletín	MS06-021	MS06-022	MS06-023	MS06-024	MS06-025	MS06-026
Nivel de gravedad máxima	Crítica	Crítica	Crítica	Crítica	Crítica	Crítica
Software de Windows afectado:
Windows Server 2003 Service Pack 1	[1]	Crítica	[1]	[1]	Importante
Windows Server 2003	[1]	Crítica	[1]	[1]	Importante
Windows Server 2003 con SP1 para sistemas con Itanium	[1]	Crítica	[1]		Importante
Windows Server 2003 para sistemas con Itanium	[1]	Crítica	[1]		Importante
Windows Server 2003 x64 Edition	[1]	Crítica	[1]	[1]	Importante
Windows XP Service Pack 2	[1]	Crítica	[1]	[1]	Importante
Windows XP Service Pack 1	[1]	Crítica	[1]	[1]	Crítica
Windows XP Professional x64 Edition	[1]	Crítica	[1]	[1]	Crítica
Windows 2000 Service Pack 4	[1]	[1]	[1]	[1]	Crítica
Windows ME, 98 SE, 98	[2]	[2]	[2]	[1]		[2]
Software de Internet Explorer afectado:
Internet Explorer 6 para Windows Server 2003 y Windows Server 2003 Service Pack 1	Crítica
Internet Explorer 6 en Windows Server 2003 para sistemas con Itanium y Windows Server 2003 con SP1 para sistemas con Itanium	Crítica
Internet Explorer 6 para Windows Server 2003 x64 Edition	Crítica
Internet Explorer 6 para Windows XP Service Pack 2	Crítica
Internet Explorer 6 para Windows XP Professional x64 Edition	Crítica
Internet Explorer 6 Service Pack 1 en Windows 2000 Service Pack 4 o en Windows XP Service Pack 1	Crítica	Crítica
Internet Explorer 5.01 Service Pack 4 en Windows 2000 Service Pack 4	Crítica	Crítica
Software del Reproductor de Windows Media afectado:
Reproductor de Windows Media 10 en Windows Server 2003 Service Pack 1				Crítica
Reproductor de Windows Media 10 en Windows Server 2003 x64 Edition				Crítica
Reproductor de Windows Media 10 cuando está instalado en Windows XP Service Pack 1 o Windows XP Service Pack 2				Crítica
Reproductor de Windows Media 10 en Windows XP Professional x64 Edition				Crítica
Reproductor de Windows Media 9 en Windows Server 2003				Crítica
Reproductor de Windows Media 9 en Windows XP Service Pack 2				Crítica
Reproductor de Windows Media 9 instalado en Windows 2000 Service Pack 4 o Windows XP Service Pack 1				Crítica
Reproductor de Windows Media para XP en Windows XP Service Pack 1				Importante
Reproductor de Windows Media 7.1 instalado en Windows 2000 Service Pack 4				Importante
Software de JScript afectado
JScript 5.6 en Windows Server 2003 y Windows Server 2003 Service Pack 1			Moderada
JScript 5.6 en Windows Server 2003 para sistemas con Itanium y Windows Server 2003 con SP1 para sistemas con Itanium			Moderada
JScript 5.6 en Windows Server 2003 x64 Edition			Moderada
JScript 5.6 en Windows XP Service Pack 1 y Windows XP Service Pack 2			Crítica
JScript 5.6 en Windows XP Professional x64 Edition			Crítica
JScript 5.6 y 5.5 instalados en Windows 2000 Service Pack 4			Crítica
JScript 5.1 en Windows 2000 Service Pack 4			Crítica

Top of section

Ubicaciones de descarga y software afectado para MS06-027 a MS06-032

	Detalles	Detalles	Detalles	Detalles	Detalles	Detalles
Identificador del boletín	MS06-027	MS06-028	MS06-029	MS06-030	MS06-031	MS06-032
Nivel de gravedad máxima	Crítica	Crítica	Importante	Importante	Moderada	Importante
Software de Windows afectado:
Windows Server 2003 Service Pack 1				Importante		Moderada
Windows Server 2003				Importante		Importante
Windows Server 2003 con SP1 para sistemas con Itanium				Importante		Moderada
Windows Server 2003 para sistemas con Itanium				Importante		Importante
Windows Server 2003 x64 Edition				Importante		Moderada
Windows XP Service Pack 2				Importante		Moderada
Windows XP Service Pack 1				Importante		Importante
Windows XP Professional x64 Edition				Importante		Moderada
Windows 2000 Service Pack 4				Importante	Moderada	Importante
Software de Office y Works afectado:
Word 2003	Importante
Word Viewer 2003	Importante
Word 2002	Importante
Word 2000	Crítica
Works Suite 2006, Works Suite 2005, Works Suite 2004, Works Suite 2003 y Works Suite 2002	Importante
Works Suite 2001 y Works Suite 2000	Crítica
PowerPoint 2003		Importante
PowerPoint 2002		Importante
PowerPoint 2000		Crítica
PowerPoint 2004 para Mac		Importante
Software de Exchange afectado:
Exchange Server 2003 Service Pack 2			Importante
Exchange Server 2003 Service Pack 1			Importante
Exchange 2000 Server Pack 3 con el conjunto de actualizaciones de Exchange 2000 Server Post-Service Pack 3 de agosto de 2004			Importante

Top of section

Nota

[1] Hay una actualización de seguridad disponible para este sistema operativo. Para obtener más información, consulte el componente afectado en la tabla y el boletín de seguridad apropiado.

[2] Las actualizaciones de seguridad crítica para estas plataformas sólo están disponibles en Windows Update.

Top of section

Implementación

Software Update Services:

Software Update Services (SUS) permite a los administradores implementar con rapidez y confiabilidad las actualizaciones críticas y de seguridad más recientes en servidores basados en Windows 2000 y Windows Server 2003, y en sistemas de escritorio donde se ejecute Windows 2000 Professional o Windows XP Professional.

Para obtener más información acerca de cómo implementar esta actualización de seguridad con Software Update Services, visite el sitio Web de Software Update Services.

Windows Server Update Services:

Windows Server Update Services (WSUS) permite a los administradores implementar con rapidez y fiabilidad las actualizaciones críticas y de seguridad más recientes en sistemas operativos Windows 2000 y versiones posteriores, Office XP y versiones posteriores, Exchange Server 2003 y SQL Server 2000 hasta Windows 2000 y sistemas operativos posteriores.

Para obtener más información acerca de cómo implementar esta actualización de seguridad con Windows Server Update Services, visite el sitio Web de Windows Server Update Services.

Systems Management Server:

Microsoft Systems Management Server (SMS) ofrece una solución empresarial altamente configurable para la administración de las actualizaciones. Mediante SMS, los administradores pueden identificar los sistemas basados en Windows que necesitan actualizaciones de seguridad, así como realizar la implementación controlada de las actualizaciones en la empresa con una repercusión mínima para los usuarios finales. Para obtener información acerca de cómo pueden utilizar SMS 2003 los administradores para implementar actualizaciones de seguridad, visite el sitio Web de administración de revisiones de seguridad de SMS 2003. Los usuarios de SMS 2.0 también pueden usar Software Updates Service Feature Pack como ayuda para la implementación de actualizaciones de seguridad. Para obtener más información acerca de SMS, visite el sitio Web de SMS.

Nota SMS utiliza las herramientas Microsoft Baseline Security Analyzer y Microsoft Office Detection Tool para proporcionar un amplio soporte técnico en la detección e implementación de las actualizaciones indicadas en los boletines de seguridad. Puede que estas herramientas no detecten algunas actualizaciones de software. Los administradores pueden usar las capacidades de inventario de SMS en estos casos para concretar qué actualizaciones aplicar en cada sistema. Para obtener más información acerca de este procedimiento, visite el siguiente sitio Web. Algunas actualizaciones de seguridad pueden requerir derechos administrativos y que se reinicie el sistema. Los administradores pueden usar la utilidad Elevated Rights Deployment Tool (disponible en SMS 2003 Administration Feature Pack y en SMS 2.0 Administration Feature Pack) para instalar estas actualizaciones.

QChain.exe y Update.exe:

Microsoft ha lanzado una herramienta de línea de comandos denominada QChain.exe que proporciona a los administradores del sistema la capacidad de encadenar actualizaciones de seguridad de un modo seguro. Encadenar actualizaciones supone instalar varias actualizaciones sin tener que reiniciar después de cada instalación. Update.exe, que se usa en las actualizaciones descritas en este documento informativo, tiene integrada una funcionalidad para encadenarlas. Para los clientes que utilicen Windows 2000 Service Pack 2 o una versión posterior, Windows XP o Windows Server 2003, Qchain.exe no tiene que encadenar estas actualizaciones. Qchain.exe sigue permitiendo encadenar estas actualizaciones de Windows de modo que los administradores puedan crear una secuencia de comandos de implementación coherente en todas las plataformas. Para obtener más información acerca de Qchain, visite este sitio Web, en inglés.

Microsoft Baseline Security Analyzer

Esta herramienta permite a los administradores examinar sistemas remotos y locales para detectar las actualizaciones de seguridad que faltan así como las configuraciones de seguridad incorrectas más comunes. Para obtener más información acerca de MBSA, visite el sitio Web Microsoft Baseline Security Analyzer.

Consejos para la detección y la implementación:

Microsoft ofrece recomendaciones para la detección y la implementación de las actualizaciones de seguridad de este mes. Esta orientación también ayudará a los profesionales de TI a comprender el funcionamiento de distintas herramientas que sirven de ayuda en la implementación de la actualización de seguridad, como Windows Update, Microsoft Update, Office Update, Microsoft Baseline Security Analyzer (MBSA), Office Detection Tool, Microsoft Systems Management Server (SMS), Extended Security Update Inventory Tool y Enterprise Update Scan Tool (EST). Para obtener más información, consulte el artículo 910723 de Microsoft Knowledge Base.

Top of section

Información adicional:

Agradecimientos

Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

•	Minaev Andrey, por informar de un problema descrito en MS06-032.
•	Michael Colson, de BindView, por informar de un problema descrito en MS06-031.
•	Will Dormann, de CERT/CC, por informar de un problema descrito en MS06-021.
•	Nicolas Ruff, Fabrice Desclaux y Kostya Kortchinsky, de European Aeronautic Defence and Space Company, por informar de un problema descrito en MS06-028.
•	hoshikuzu star_dust, por informar de un problema descrito en MS06-021.
•	iDEFENSE, por informar de un problema descrito en MS06-022 y MS06-030.
•	Greg MacManus, en colaboración con iDEFENSE Labs, por informar de un problema descrito en MS06-024.
•	Shih-hao Weng, de Information & Communication Security Technology Center, por informar de un problema descrito en MS06-027.
•	Yorick Koster, de ITsec Security Services, por informar de un problema descrito en MS06-021.
•	John Jones, de DISC, Kansas, por informar de un problema descrito en MS06-021.
•	H D Moore, del Metasploit Project, por informar de un problema descrito en MS06-021.
•	Peter Winter-Smith, de NGS Software, por informar de un problema descrito en MS06-025.
•	Daniel Fabian, de SEC Consult, por informar de un problema descrito en MS06-029.
•	Andreas Sandblad, de Secunia, por informar de un problema descrito en MS06-021.
•	Symantec, por informar de un problema descrito en MS06-028.
•	Peter Ferrie, de Symantec, por informar de un problema descrito en MS06-026.
•	TippingPoint y Zero Day Initiative, por informar de problemas descritos en MS06-021.

Obtención de otras actualizaciones de seguridad:

Las actualizaciones para otros problemas de seguridad están disponibles en las ubicaciones siguientes:

•	En el Centro de descarga de Microsoft hay actualizaciones de seguridad disponibles. Si realiza una búsqueda de las palabras clave “revisión de seguridad” (security patch) podrá encontrarlas fácilmente.
•	Hay disponibles actualizaciones para las plataformas de usuarios en el sitio Web Microsoft Update.
•	Puede obtener las actualizaciones de seguridad que se ofrecen este mes en Windows Update en Security and Critical Releases ISO Image (imagen ISO de las versiones críticas y de seguridad). Para obtener más información, consulte el artículo 913086 de Microsoft Knowledge Base.

Soporte técnico:

•

Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico de los Servicios de soporte técnico de Microsoft en 1-866-PCSAFETY. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad son gratuitas.

•

Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad son gratuitas. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite el sitio Web de soporte técnico internacional de Microsoft.

Recursos de seguridad:

•	El sitio Web Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft.
•	Microsoft Software Update Services
•	Microsoft Windows Server Update Services
•	Microsoft Baseline Security Analyzer (MBSA)
•	Windows Update
•	Microsoft Update
•	Catálogo de Windows Update: Para obtener más información sobre el Catálogo de Windows Update, vea el artículo de Microsoft Knowledge Base 323166.
•	Office Update

Renuncia:

La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones:

•	V1.0 (13 de junio de 2006): Publicación del boletín.

Top of section

Principio de la página