Haga clic aquí para instalar Silverlight*
EspañaCambiar|Todos los sitios de Microsoft
Microsoft
|Suscripción TechNet Plus|Boletín|Internacional|Suscríbase|Mapa del Web|Contacte con nosotros
Buscar


Resumen del boletín de seguridad de Microsoft de julio de 2006

Publicado: noviembre 7, 2006 | Actualizado: noviembre 7, 2006

Versión: 1.1

En el siguiente sitio web existe una versión de esta información para el usuario final.

Proteja su PC: En las ubicaciones siguientes, Microsoft proporciona información sobre cómo puede ayudar a proteger su PC:

Los usuarios finales pueden visitar el sitio web Proteja su PC.

Los profesionales de tecnologías de la información pueden visitar el sitio web Centro de instrucciones de seguridad.  

Estrategias de administración de actualizaciones: En el sitio web Administración de revisiones, actualizaciones de seguridad y descargas, se proporciona información adicional acerca de las prácticas recomendadas de Microsoft para aplicar actualizaciones de seguridad.

Comunidad de la zona de seguridad para profesionales de tecnologías de la información: Aprenda a mejorar la seguridad y a optimizar la infraestructura informática y comparta sus problemas de seguridad con otros profesionales del sector en el sitio web IT Pro Security Zone (en inglés).

Servicio de notificación de seguridad de Microsoft: Para recibir notificaciones automáticas por correo electrónico siempre que se emitan boletines de seguridad de Microsoft, suscríbase al Servicio de notificación de seguridad de Microsoft.

Resumen

En este documento informativo se incluyen actualizaciones para vulnerabilidades descubiertas recientemente. Estas vulnerabilidades, ordenadas en función de su gravedad, son:

Crítica (5)

Identificador del boletínBoletín de seguridad de Microsoft MS06-035

Título del boletín

Una vulnerabilidad en el servicio de servidor podría permitir la ejecución remota de código (917159)

Resumen ejecutivo

Esta actualización resuelve dos vulnerabilidades en el servicio de servidor, la más grave de las cuales podría permitir la ejecución remota de código.

Nivel de gravedad máxima

Crítica

Consecuencia de la vulnerabilidad

Ejecución remota de código

Software afectado

Windows. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Identificador del boletínBoletín de seguridad de Microsoft MS06-036

Título del boletín

Una vulnerabilidad en el servicio cliente DHCP podría permitir la ejecución remota de código (914388)

Resumen ejecutivo

Esta actualización resuelve una vulnerabilidad en el servicio cliente DHCP que podría permitir la ejecución remota de código.

Nivel de gravedad máxima

Crítica

Consecuencia de la vulnerabilidad

Ejecución remota de código

Software afectado

Windows. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Identificador del boletínBoletín de seguridad de Microsoft MS06-037

Título del boletín

Las vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código (917285)

Resumen ejecutivo

Esta actualización resuelve varias vulnerabilidades en Excel, la más grave de las cuales podría permitir la ejecución remota de código.

Nivel de gravedad máxima

Crítica

Consecuencia de la vulnerabilidad

Ejecución remota de código

Software afectado

Office, Excel. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Identificador del boletínBoletín de seguridad de Microsoft MS06-038

Título del boletín

Las vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código (917284)

Resumen ejecutivo

Esta actualización resuelve dos vulnerabilidades en Office, la más grave de las cuales podría permitir la ejecución remota de código.

Nivel de gravedad máxima

Crítica

Consecuencia de la vulnerabilidad

Ejecución remota de código

Software afectado

Office, Project, Visio, Works, Visual Studio. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Identificador del boletínBoletín de seguridad de Microsoft MS06-039

Título del boletín

Las vulnerabilidades en los filtros de Microsoft Office podrían permitir la ejecución remota de código (915384)

Resumen ejecutivo

Esta actualización resuelve dos vulnerabilidades en Office, la más grave de las cuales podría permitir la ejecución remota de código.

Nivel de gravedad máxima

Crítica

Consecuencia de la vulnerabilidad

Ejecución remota de código

Software afectado

Office, Project, Works. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Importante (2)

Identificador del boletínBoletín de seguridad de Microsoft MS06-033:

Título del boletín

Una vulnerabilidad en ASP.NET podría permitir la divulgación de información (917283)

Resumen ejecutivo

Esta vulnerabilidad podría permitir a un atacante omitir la seguridad ASP.Net y conseguir acceso no autorizado a objetos en las carpetas de aplicación explícitamente por nombre. Es importante mencionar que la vulnerabilidad no permitirá al atacante ejecutar códigos o elevar directamente sus derechos de usuario, pero podría servir para reunir información útil que pudiera usarse para tratar de sacar más provecho del sistema afectado.

Nivel de gravedad máxima

Importante

Consecuencia de la vulnerabilidad

Divulgación de información

Software afectado

Windows, .NET Framework. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Identificador del boletínBoletín de seguridad de Microsoft MS06-034

Título del boletín

Una vulnerabilidad en Microsoft Internet Information Services con Active Server Pages podría permitir la ejecución remota de código (917537)

Resumen ejecutivo

Existe una vulnerabilidad que podría permitir a un atacante obtener el control absoluto de un sistema afectado. Nota: el atacante debe tener credenciales de inicio de sesión válidas pero, si un servidor se ha configurado para permitir a los usuarios (anónimos o autenticados) cargar contenido web (por ejemplo, páginas .ASP en sitios web), el servidor podría verse afectado por esta vulnerabilidad.

Nivel de gravedad máxima

Importante

Consecuencia de la vulnerabilidad

Ejecución remota de código

Software afectado

Windows, IIS. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Ubicaciones de descarga y software afectado

¿Cómo se usa esta tabla?

Esta tabla se puede utilizar para conocer las actualizaciones de seguridad que quizá deba instalar. Debe revisar cada programa o componente enumerado para ver si hay alguna actualización de seguridad necesaria. Si un componente o programa aparece, se indica la consecuencia de la vulnerabilidad y también se proporciona un vínculo a la actualización de software disponible.

En la tabla, un número entre corchetes [x] indica que hay una nota que explica más acerca del problema. Estas notas se encuentran al final de la tabla.

Ubicaciones de descarga y software afectado para MS06-033 a MS06-036
 DetallesDetallesDetallesDetalles

Identificador del boletín

MS06-033

MS06-034

MS06-035

MS06-036

Nivel de gravedad máxima

Importante

Importante

Crítica

Crítica

 

Software de Windows afectado:

 

 

 

 

Windows Server 2003 Service Pack 1

[1]

Moderada

Crítica

Crítica

Windows Server 2003

[1]

Moderada

Crítica

Crítica

Windows Server 2003 con SP1 para sistemas con Itanium

[1]

Moderada

Crítica

Crítica

Windows Server 2003 para sistemas con Itanium

[1]

Moderada

Crítica

Crítica

Windows Server 2003 x64 Edition

[1]

Moderada

Crítica

Crítica

Windows XP Professional Service Pack 2

[1]

Importante

Crítica

Crítica

Windows XP Professional Service Pack 1

[1]

Importante

Crítica

Crítica

Windows XP Professional x64 Edition

[1]

Importante

Crítica

Crítica

Windows XP Home Service Pack 2

[1]

 

Crítica

Crítica

Windows XP Home Service Pack 1

[1]

 

Crítica

Crítica

Windows 2000 Service Pack 4

[1]

Importante

Crítica

Crítica

 

Software de .NET Framework afectado:

 

 

 

 

.NET Framework 2.0

Importante

 

 

 

Ubicaciones de descarga y software afectado para MS06-037 a MS06-039
 DetallesDetallesDetalles

Identificador del boletín

MS06-037

MS06-038

MS06-039

Nivel de gravedad máxima

Crítica

Crítica

Crítica

 

Software de Office afectado:

 

 

 

Office 2003 Service Pack 2

 

Importante

Importante

Office 2003 Service Pack 1

 

Importante

Importante

Office XP Service Pack 3

 

Importante

Importante

Office 2000 Service Pack 3

 

Crítica

Crítica

Office v.X para Mac

 

Importante

 

Office 2004 para Mac

 

Importante

 

Excel 2003

Importante

 

 

Excel Viewer 2003

Importante

 

 

Excel 2002

Importante

 

 

Excel 2000

Crítica

 

 

Excel v. X para Mac

Importante

 

 

Excel 2004 para Mac

Importante

 

 

Project 2002

 

Importante

Importante

Project 2000

 

Crítica

Crítica

Visio 2002

 

Importante

 

 

Software de Works afectado:

 

 

 

Works Suite 2006

 

Importante

Importante

Works Suite 2005

 

Importante

Importante

Works Suite 2004

 

Importante

Importante

 

 

 

 

Nota

[1] Hay una actualización de seguridad disponible para este sistema operativo. Para obtener más información, consulte el componente afectado en la tabla y el boletín de seguridad apropiado.

Implementación

Software Update Services:

Software Update Services (SUS) permite a los administradores implementar con rapidez y confiabilidad las actualizaciones críticas y de seguridad más recientes en servidores basados en Windows 2000 y Windows Server 2003, y en sistemas de escritorio donde se ejecute Windows 2000 Professional o Windows XP Professional.

Para obtener más información acerca de cómo implementar esta actualización de seguridad con Software Update Services, visite el sitio web de Software Update Services.

Windows Server Update Services:

Windows Server Update Services (WSUS) permite a los administradores implementar con rapidez y fiabilidad las actualizaciones críticas y de seguridad más recientes en sistemas operativos Windows 2000 y versiones posteriores, Office XP y versiones posteriores, Exchange Server 2003 y SQL Server 2000 hasta Windows 2000 y sistemas operativos posteriores.

Para obtener más información acerca de cómo implementar esta actualización de seguridad con Windows Server Update Services, visite el sitio web de Windows Server Update Services.

Nota: El 11 de julio de 2006 se produjeron problemas con la disponibilidad de WSUSscan.cab. Si descargó WSUSscan.cab antes de las 18:30 (hora de verano del Pacífico), tendrá que volver a descargarlo. De lo contrario, no se podrán detectar e implementar las actualizaciones para los boletines de este resumen. En el artículo 894199 de Microsoft Knowledge Base podrá encontrar más problemas e información sobre WSUS.

Systems Management Server:

Microsoft Systems Management Server (SMS) ofrece una solución empresarial altamente configurable para la administración de las actualizaciones. Mediante SMS, los administradores pueden identificar los sistemas basados en Windows que necesitan actualizaciones de seguridad, así como realizar la implementación controlada de las actualizaciones en la empresa con una repercusión mínima para los usuarios finales. Para obtener información acerca de cómo pueden utilizar SMS 2003 los administradores para implementar actualizaciones de seguridad, visite el sitio web de administración de revisiones de seguridad de SMS 2003. Los usuarios de SMS 2.0 también pueden usar Software Updates Service Feature Pack como ayuda para la implementación de actualizaciones de seguridad. Para obtener más información acerca de SMS, visite el sitio web de SMS.

Nota: El 11 de julio de 2006 se produjeron problemas con la disponibilidad de WSUSscan.cab. Si descargó WSUSscan.cab antes de las 18:30 (hora de verano del Pacífico), tendrá que volver a descargarlo. De lo contrario, no se podrán detectar e implementar las actualizaciones para los boletines de este resumen.

Nota SMS utiliza las herramientas Microsoft Baseline Security Analyzer y Microsoft Office Detection Tool para proporcionar un amplio soporte técnico en la detección e implementación de las actualizaciones indicadas en los boletines de seguridad. Puede que estas herramientas no detecten algunas actualizaciones de software. Los administradores pueden usar las capacidades de inventario de SMS en estos casos para concretar qué actualizaciones aplicar en cada sistema. Para obtener más información acerca de este procedimiento, visite el siguiente sitio web. Algunas actualizaciones de seguridad pueden requerir derechos administrativos y que se reinicie el sistema. Los administradores pueden usar la utilidad Elevated Rights Deployment Tool (disponible en SMS 2003 Administration Feature Pack y en SMS 2.0 Administration Feature Pack) para instalar estas actualizaciones.

QChain.exe y Update.exe:

Microsoft ha lanzado una herramienta de línea de comandos denominada QChain.exe que proporciona a los administradores del sistema la capacidad de encadenar actualizaciones de seguridad de un modo seguro. Encadenar actualizaciones supone instalar varias actualizaciones sin tener que reiniciar después de cada instalación. Update.exe, que se usa en las actualizaciones descritas en este documento informativo, tiene integrada una funcionalidad para encadenarlas. Para los clientes que utilicen Windows 2000 Service Pack 2 o una versión posterior, Windows XP o Windows Server 2003, Qchain.exe no tiene que encadenar estas actualizaciones. Qchain.exe sigue permitiendo encadenar estas actualizaciones de Windows de modo que los administradores puedan crear una secuencia de comandos de implementación coherente en todas las plataformas. Para obtener más información acerca de Qchain, visite este sitio web, en inglés.

Microsoft Baseline Security Analyzer:

Esta herramienta permite a los administradores examinar sistemas remotos y locales para detectar las actualizaciones de seguridad que faltan así como las configuraciones de seguridad incorrectas más comunes. Para obtener más información acerca de MBSA, visite el sitio web Microsoft Baseline Security Analyzer.

Consejos para la detección y la implementación:

Microsoft ofrece recomendaciones para la detección y la implementación de las actualizaciones de seguridad de este mes. Esta orientación también ayudará a los profesionales de TI a comprender el funcionamiento de distintas herramientas que sirven de ayuda en la implementación de la actualización de seguridad, como Windows Update, Microsoft Update, Office Update, Microsoft Baseline Security Analyzer (MBSA), Office Detection Tool, Microsoft Systems Management Server (SMS), Extended Security Update Inventory Tool y Enterprise Update Scan Tool (EST). Para obtener más información, consulte el artículo 910723 de Microsoft Knowledge Base.

Información adicional:

Agradecimientos

Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

Pedram Amini, de TippingPoint Security Research Team en colaboración con H D Moore, por informar de un problema descrito en MS06-035.

Shaun Colley, de NGSS Consulting, por informar de un problema descrito en MS06-037.

Mariano Nuñez Di Croce, de Cybsec Security Systems, por informar de un problema descrito en MS06-036.

Arnaud Dovi, por informar de un problema descrito en MS06-037.

Arnaud Dovi, en colaboración con Zero Day Initiative (ZDI) y TippingPoint, por informar de un problema descrito en MS06-037.

Urs Eichmann, de PRISMA Informatik, por informar de un problema descrito en MS06-033.

Elia Florio, de Symantec, por informar de un problema descrito en MS06-038.

Fortinet, por informar de un problema descrito enMS06-039.

Costin Ionescu, de Symantec, por informar de un problema descrito en MS06-037.

Brett Moore, de Security-Assessment.com, por informar de un problema descrito en MS04-034.

NSFocus Security Team, por informar de los problemas descritos en MS06-037 y MS06-039

Xin Ouyang, de Nevis Networks, por informar de un problema descrito en MS06-037.

Posidron, por informar de un problema descrito en MS06-037.

Nicolas Pouvesle, de Tenable Network Security, por informar de un problema descrito en MS06-035.

Mike Price y Rafal Wojtczuk, de McAfee Avert Labs, por informar de un problema descrito en MS06-035.

Sowhat, de Nevis Labs, por informar de un problema descrito en MS06-037.

Obtención de otras actualizaciones de seguridad:

Las actualizaciones para otros problemas de seguridad están disponibles en las ubicaciones siguientes:

En el Centro de descarga de Microsoft hay actualizaciones de seguridad disponibles. Si realiza una búsqueda de las palabras clave “revisión de seguridad” (security patch) podrá encontrarlas fácilmente.

Hay disponibles actualizaciones para las plataformas de usuarios en el sitio web Microsoft Update.

Puede obtener las actualizaciones de seguridad que se ofrecen este mes en Windows Update en Security and Critical Releases ISO Image (imagen ISO de las versiones críticas y de seguridad). Para obtener más información, consulte el artículo 913086 de Microsoft Knowledge Base.

Soporte técnico:

Puede solicitar soporte técnico en los Servicios de soporte técnico de Microsoft o a través del teléfono 902 197 198.

Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad son gratuitas. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite el sitio web de soporte técnico internacional de Microsoft.

Recursos de seguridad:

El sitio web Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft.

Microsoft Software Update Services

Microsoft Windows Server Update Services

Microsoft Baseline Security Analyzer (MBSA)

Windows Update

Microsoft Update

Catálogo de Windows Update: Para obtener más información sobre el Catálogo de Windows Update, vea el artículo de Microsoft Knowledge Base 323166.

Office Update 

Renuncia:

La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones:

V1.0 (11 de julio de 2006): Publicación del boletín.

V1.1 (11 de julio de 2006): Sección de implementación actualizada para reflejar la disponibilidad de WSUSscan.cab.



©2015 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Condiciones de uso |Marcas registradas |Declaración de Privacidad
Microsoft