lsass.exe ¿nesecita coneccion a internet?

Estado
Cerrado para nuevas respuestas.

Lauman

Nuevo Miembro
Miembro
Hola a todos bye,el problema que tengo con este proceso es el siguiente, yo estaba actualizando unos programas y de repente me salta el firewall del norton antivirus y me dice que el lsass.exe queria tener acceso al equipo o a internet(no se cual de las dos :eek: ) y el firewall me pregunta si premitia o bloqueaba el lsass y yo le puse que lo bloqueara ya que pensé que este proceso no requiere coneccion a internet.Ahora mi pregunta es¿hice bien en bloquearlo? :confused:

Ya le pase el antivirus a mi pc y el antispiware(el de microsoft y el ad-ware) y no me detecto nada :confused:

PD: Tengo Windows XP pro service pack 2

Desde ya agradezco cualquier ayuda que me den ;)
 

coms

Nuevo Miembro
Miembro
No te preocupes, no tengo idea de que es esa aplicaci´´on que corre todo el tiempo, pero no es normal. Ahora lo de no permitirle la conexión a internet no creo que sea un problema, ya que como t´´u dices no deber´´ia conectarse a internet, de hecho a mi con el zonealarm como firewall ni siquiera me lo ha pedido....

saludos
 

Geniusr

Miembro Activo
Miembro
lsass

Archivo Fabricante: lsass.exe (Microsoft)

Que es: Es un proceso del mecanismo de seguridad del sistema operativo Windows. Especialmente se encarga del menejo de la seguridad local y las politicas de autenticacion de usuarios.

Autor: Microsoft

Hace parte de: Microsoft Windows

Es un proceso del Sistema de Windows: SI

Riesgo a la seguridad: NO

Se conecta a Internet ó Red: NO

Observaciones: Este programa es importante para estabilidad y seguridad de su sistema y no debería ser terminado. Verifique que el archivo que aparece en el proceso cargado sea el que esta en la ruta c:\windows\system32\ o c:\winnt\system32, ya que si no es el mismo, o aparece dos veces en la lista es muy posible que sea un gusano haciendose pasar por el original lsass.exe.

Permitir que se cargue automáticamente al inicio: Permitir

como te daras cuenta este proceso no se debe conectar a internet.

checa si no tienes 2 veces corriendo este proceso, si es así hay nos cuentas...

saludos...
 
H

horasex

Guest
Hola, mejor que no le dieras permisos y también que tengas en cuenta lo siguiente:

Actualización de seguridad para Microsoft Windows (835732)

Emitido: 13 de Abril de 2004

Actualizado: 4 de Mayo de 2004

Versión: 1.3

Resumen

Quién debería leer este documento: Los clientes que utilicen Microsoft® Windows®


Consecuencia de la vulnerabilidad: Ejecución remota de código


Gravedad máxima: Crítica


Recomendación: Los clientes deberían aplicar esta actualización inmediatamente.


Actualizaciones de seguridad reemplazadas: Este boletín sustituye varias actualizaciones de seguridad anteriores. Para obtener la lista completa consulte la sección Preguntas más frecuentes (P+F) de este boletín.




Advertencias: La actualización de seguridad para Windows NT Server 4.0 Terminal Server Service Pack 6 requiere, como requisito previo, la instalación de Windows NT Server 4.0 Terminal Server Security Rollup Package (SRP). Puede descargarse el SRP visitando el siguiente sitio Web. Es necesario instalar el SRP antes de proceder a la instalación de la actualización de seguridad proporcionada en este boletín. Si no utiliza Windows NT Server 4.0 Terminal Server Service Pack 6, no es necesario que instale el SRP.

El artículo Microsoft de la Base de Conocimientos 835732 recoje los sucesos conocidos que los usuarios pueden experimentar cuando instalan esta actualización de seguridad. El artículo, asimismo, recomienda soluciones para estos sucesos. Para mas información consulte el artículo de la Base de conocimiento 835732.


Ubicaciones de descarga de la actualización de seguridad y productos probados:


Software afectado

Microsoft Windows NT® Workstation 4.0 Service Pack 6a Descargar la actualización
Microsoft Windows NT Server 4.0 Service Pack 6a Descargar la actualización
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6 Descargar la actualización
Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3 y Microsoft Windows 2000 Service Pack 4 Descargar la actualización
Microsoft Windows XP y Microsoft Windows XP Service Pack 1 Descargar la actualización
Microsoft Windows XP 64-Bit Edition Service Pack 1 Descargar la actualización
Microsoft Windows XP 64-Bit Edition Version 2003Descargar la actualización
Microsoft Windows Server™ 2003 Descargar la actualización
Microsoft Windows Server 2003 64-Bit Edition Descargar la actualización
Microsoft NetMeeting
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) y Microsoft Windows Millennium Edition (ME): para obtener detalles acerca de estos sistemas operativos plataformas revise la sección P+F.


Los programas de software listados arriba han sido probados para determinar si están afectados. Otras versiones puede que ya no sean compatibles con las actualizaciones de seguridad o que no se vean afectadas. Para determinar el ciclo de vida de soporte técnico de su producto y versión, visite el sitio Web Ciclo de vida de soporte técnico de Microsoft.

Detalles técnicos

Sumario ejecutivo:

Esta actualización resuelve varias vulnerabilidades descubiertas recientemente. Cada vulnerabilidad se documenta en este boletín en su propia sección.

Un atacante que logre utilizar los puntos vulnerables más importantes podría hacerse con el control de un sistema afectado, incluidos los programas instalados. Así, podría ver, cambiar o eliminar datos o incluso crear cuentas nuevas con privilegios completos.

Microsoft recomienda a sus clientes que apliquen la actualización inmediatamente.



Gravedad e identificadores de vulnerabilidad:

Identificadores de vulnerabilidad



Consecuencia de la vulnerabilidad



Windows 98, SE, ME



Windows NT 4.0



Windows 2000



Windows XP



Windows Server 2003



Vulnerabilidad en el servicio LSASS (CAN-2003-0533)



Ejecución remota de código



Ninguna



Ninguna



Crítica



Crítica



Baja



Vulnerabilidad LDAP - (CAN-2003-0663)



Denegación de servicio



Ninguna



Ninguna



Importante



Ninguna



Ninguna



Vulnerabilidad PCT (CAN-2003-0719)



Ejecución remota de código



Ninguna



Crítica



Crítica



Crítica



Baja



Vulnerabilidad de Winlogon (CAN-2003-0806)



Ejecución remota de código



Ninguna



Moderada



Moderada



Moderada



Ninguna



Vulnerabilidad del metarchivo (CAN-2003-0906)



Ejecución remota de código



Ninguna



Crítica



Crítica



Crítica



Ninguna



Vulnerabilidad del Centro de ayuda y soporte técnico (CAN-2003-0907)



Ejecución remota de código



Ninguna



Ninguna



Ninguna



Crítica



Crítica



Vulnerabilidad del Administrador de utilidades (CAN-2003-0908)



Elevación de privilegios



Ninguna



Ninguna



Importante



Ninguna



Ninguna



Vulnerabilidad de la administración de Windows (CAN-2003-0909)



Elevación de privilegios



Ninguna



Ninguna



Ninguna



Importante



Ninguna



Vulnerabilidad de la tabla de descriptor local (CAN-2003-0910)



Elevación de privilegios



Ninguna



Importante



Importante



Ninguna



Ninguna



Vulnerabilidad de H.323y* (CAN-2004-0117)



Ejecución remota de código



No crítica



Ninguna



Importante



Importante



Importante



Vulnerabilidad de la máquina virtual DOS Vulnerability - CAN-2004-0118



Elevación de privilegios



Ninguna



Importante



Importante



Ninguna



Ninguna



Vulnerabilidad Negociar SSP - CAN-2004-0119



Ejecución remota de código



Ninguna



Ninguna



Crítica



Crítica



Crítica



Vulnerabilidad SSL - CAN-2004-0120



Denegación de servicio



Ninguna



Ninguna



Importante



Importante



Importante



Vulnerabilidad ASN.1 "doble liberación" - CAN-2004-0123



Ejecución remota de código



No crítica



Crítica



Crítica



Crítica



Crítica



Gravedad conjunta de todas las vulnerabilidades





No crítica



Crítica



Crítica



Crítica



Crítica





*Nota la clasificación de gravedad de la vulnerabilidad en H.323 - CAN-2004-0117 es Importante para la versión independiente de NetMeeting. Puede encontrar una versión actualizada de NetMeeting, en la que se ha solucionado esta vulnerabilidad, en este sitio Web. Esta versión de NetMeeting puede instalarse en todos los sistemas Windows 98, Windows 98 Second Edition, Windows Millennium Edition y Windows NT 4.0.

Esta clasificación está basada en los tipos de sistemas afectados por esta vulnerabilidad, en sus patrones típicos de implementación y en el efecto que podría tener un ataque que la aproveche.

Preguntas más frecuentes (P+F) relacionadas con esta actualización de seguridad

¿Por qué soluciona esta actualización varios problemas de vulnerabilidad de seguridad detectados?

Esta actualización aborda diversos puntos vulnerables porque las modificaciones necesarias para solucionar estos aspectos deben realizarse en los archivos correspondientes. En lugar de instalar varias actualizaciones con archivos prácticamente idénticos, basta con que los clientes instalen esta única actualización.

¿Qué actualizaciones reemplaza esta versión?

Esta actualización de seguridad reemplaza a varios boletines de seguridad anteriores. Los ID del boletín de seguridad y sistemas operativos afectados se enumeran en la siguiente tabla.

ID de boletín



Windows NT 4.0



Windows 2000



Windows XP



Windows Server 2003



MS99-023



Reemplazado



No aplicable



No aplicable



No aplicable



MS00-027



No sustituido



Reemplazado



No aplicable



No aplicable



MS00-032



No aplicable



Reemplazado



No aplicable



No aplicable



MS00-070



No sustituido



Reemplazado



No aplicable



No aplicable



MS02-050



Reemplazado



No sustituido



No aplicable



No aplicable



MS02-051



No aplicable



Reemplazado



No sustituido



No aplicable



MS02-071



Reemplazado



Reemplazado



No sustituido



No aplicable



MS03-007



No sustituido



Reemplazado



No sustituido



No aplicable



MS03-013



Reemplazado



No sustituido



No sustituido



No aplicable



MS03-025



No aplicable



Reemplazado



No aplicable



No aplicable



MS03-027



No aplicable



No aplicable



No sustituido



No aplicable



MS03-041



Reemplazado



No sustituido



No sustituido



No sustituido



MS03-045



Reemplazado



Reemplazado



No sustituido



No sustituido



MS04-007



Reemplazado



Reemplazado



Reemplazado



Reemplazado





¿Esta actualización es una actualización de seguridad acumulativa o un resumen de actualizaciones de seguridad?

Ninguna de las dos. Una actulización de seguridad acumulativa normalmente incluye soporte para todas las actualizaciones anteriores. Esta actulización no incluye soporte para todas las actulizaciones anteriores en todos los sistemas operativos.

Un resumen de actualizaciones de seguridad suele utilizarse para combinar varias publicaciones anteriores en una única actualización para permitir una instalación más fácil y una descarga más rápida. A diferencia de esta actualización, los resúmenes de actualizaciones de seguridad no incluyen modificaciones para solucionar los nuevos puntos vulnerables.

¿Cómo afecta al servicio técnico de Windows 98, Windows 98 Second Edition y Windows Millennium Edition la publicación de actualizaciones de seguridad para estos sistemas operativos?

Microsoft sólo publicará actualizaciones de seguridad para problemas de seguridad críticos. Los problemas de seguridad no críticos no se ofrecen durante este periodo de servicio técnico. Para obtener más información acerca de las directivas Ciclo de vida del soporte técnico de Microsoft para estos sistemas operativos, visite el siguiente sitio Web.

Para obtener más información acerca de la gravedad, visite el siguiente sitio Web.



¿Están afectados Windows 98, Windows 98 Second Edition o Windows Millennium Edition de forma crítica por alguna vulnerabilidad tratada en este boletín de seguridad?

No. Ninguna de estas vulnerabilidades es de gravedad crítica en Windows 98, Windows 98 Second Edition o Windows Millennium Edition.

¿Contiene esta actualización algún otro cambio en su funcionalidad?
Sí. Además de los cambios que se indican más abajo en cada uno de los apartados específicos de los puntos vulnerables, esta actualización presenta el siguiente cambio de funcionalidad: Los archivos que terminan con la extensión “.folder” han dejado de estar asociados con directorios. Los archivos con esta extensión aún reciben soporte del sistema operativo afectado. Sin embargo, dichos archivos ya no aparecen como un directorio en Windows Explorer ni en otros programas.

¿Se puede utilizar Microsoft Baseline Security Analyzer (MBSA) para determinar si esta actualización es necesaria?

Sí. MBSA determinará si la actualización es necesaria. Sin embargo, MBSA no podrá determinar si es necesaria la actualización en la versión autónoma de NetMeeting. MBSA no ofrece las actualizaciones requeridas por la versión autónoma de NetMeeting si éste ha sido instalado en un sistema Windows NT 4.0. Para descargarse la actualización de la versión autónoma de NetMeeting que se menciona en la vulnerabilidad H.323 (CAN-2004-0117), visite el siguiente sitio Web. MBSA no detecta si la actualización para la vulnerabilidad H.323 (CAN-2004-0117) es necesaria para la versión de NetMeeting que forma parte de Windows 2000, Windows XP o Windows Server 2003.

Para obtener más información acerca de la vulnerabilidad H.323 (CAN-2004-0117) vea la sección de detalles de la vulnerabilidad en este boletín. Para obtener más información acerca de MBSA, visite el sitio Web de MBSA. Para más información sobre las limitaciones de detección de MBSA, vea el artículo de la Base de Conocimiento 306460.

¿Cómo afecta esta revisión al boletín inicial?

Cuando se publicó este boletín el 13 de abril de 2004, la detección de MBSA de esta actualización de seguridad estaba deshabilitada para Windows NT 4.0 debido a la falta de soporte para la detección de la versión autónoma de NetMeeting que se ha descrito previamente en este boletín. La modificación se produjo el 21 de abril. MBSA puede detectar ahora si esta actualización de seguridad es necesaria en Windows NT 4.0 incluso aunque exista esta limitación.

¿Se puede utilizar Systems Management Server (SMS) para determinar si esta actualización es necesaria?

Sí. SMS puede ayudar a detectar e implementar esta actualización de seguridad. Para obtener información acerca de SMS, visite el sitio Web de SMS.

¿Se puede utilizar System Management Server (SMS) para determinar si la versión autónoma de NetMeeting está instalada en sistemas Windows NT 4.0?

Sí. SMS puede ayudar a detectar si se necesita la versión autónoma actualizada de NetMeeting para sistemas Windows NT 4.0. SMS puede buscar la presencia del archivo "Conf.exe". Todas las versiones anteriores a la versión 3.01 (4.4.3399) deben ser actualizadas.

Detalles de vulnerabilidad

Vulnerabilidad en el servicio LSASS (CAN-2003-0533):

Existe una vulnerabilidad de saturación del búfer en el LSASS que puede permitir la ejecución remota de código en los sistemas afectados. Un intruso que aprovechara con éxito esta vulnerabilidad podría obtener el control completo del sistema afectado.

Factores atenuantes de la vulnerabilidad en el servicio LSASS (CAN-2003-0533):

· Sólo las plataformas Windows 2000 y Windows XP pueden ser objeto de un ataque remoto por parte de un usuario anónimo. Aunque Windows Server 2003 y Windows XP 64-Bit Edition Versión 2003 también presentan esta vulnerabilidad, sólo puede aprovecharla un administrador local.

· Windows NT 4.0 no se ve afectado por esta vulnerabilidad.

· Si se siguen las prácticas recomendadas relativas al uso de servidores de seguridad y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger una red de los ataques que se originen fuera del ámbito de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos.

Soluciones para la vulnerabilidad en el servicio LSASS (CAN-2003-0533):

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

· Cree un fichero llamado %systemroot%\debug\dcpromo.log y hágalo de sólo lectura. Para ello, escriba el siguiente comando:.

echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log

Nota Ésta es la técnica de mitigación más efectiva dado que consigue eliminar completamente esta vulnerabilidad haciendo que el código vulnerable nunca sea ejecutado. Esta solución funciona para los paquetes enviados a cualquier puerto vulnerable.

· Utilice un servidor de seguridad como el Servidor de seguridad de conexión a Internet, que está incluido en Windows XP y Windows Server 2003.

Si utiliza la característica Servidor de seguridad de conexión a Internet en Windows XP o Windows Server 2003 para ayudar a proteger su conexión a Internet, se bloquea el tráfico entrante no solicitado de forma predeterminada. Microsoft recomienda bloquear toda comunicación entrante no solicitada de Internet.

Para habilitar la función del Servidor de seguridad de conexión a Internet mediante el Asistente para configuración de red siga estos pasos:

1. Haga clic en Inicio y, a continuación, en Panel de control.

2. En la Vista por categorías predeterminada, haga clic en Conexiones de red e Internet y, a continuación, haga clic en Configurar o cambiar su red doméstica o de oficina pequeña. El Servidor de seguridad de conexión a Internet está habilitado cuando se elige una configuración del asistente que indica que el sistema está conectado directamente a Internet.

Para configurar manualmente el Servidor de seguridad de conexión a Internet para una conexión, siga estos pasos:

1. Haga clic en Inicio y, a continuación, en Panel de control.

2. En la Vista por categorías predeterminada, haga clic en Conexiones de red y de acceso telefónico y, a continuación, haga clic en Conexiones de red.

3. Haga clic con el botón secundario en la conexión en la que desea habilitar el Servidor de seguridad de conexión a Internet y, a continuación, haga clic en Propiedades.

4. Haga clic en la ficha Avanzadas.

5. Haga clic para activar la casilla de verificación Proteger mi equipo y mi red limitando o impidiendo el acceso al mismo desde Internet y, a continuación, haga clic en Aceptar.

Si desea permitir el uso de algunos programas y servicios a través del servidor de seguridad, haga clic en Configuración de la ficha Avanzadas y, a continuación, seleccione los programas, los protocolos y los servicios necesarios.

· Bloquee lo siguiente en el servidor de seguridad:

o Puertos UDP 135, 137, 138 y 445; y puertos TCP 135, 139, 445 y 593

o Todo el tráfico entrante no solicitado en puertos mayores que 1024

o Cualquier otro puerto RPC configurado específicamente

Estos puertos se utilizan para iniciar una conexión con RPC. Al bloquearlos en el servidor de seguridad, evitará que los sistemas situados detrás de dicho servidor de seguridad de intentos de aprovechar esta vulnerabilidad. Asegúrese también de que bloquea cualquier otro puerto RPC configurado específicamente en el sistema remoto. Microsoft le recomienda bloquear toda la comunicación entrante no solicitada de Internet para ayudar a impedir ataques que puedan utilizar otros puertos. Para obtener más información acerca de los puertos que utiliza RPC, visite el siguiente sitio Web.



· Habilite el filtrado TCP/IP avanzado en sistemas que admitan esta característica.

Puede habilitar el filtrado TCP/IP avanzado a fin de bloquear todo el tráfico entrante no solicitado. Para obtener más información acerca de cómo configurar el filtrado TCP/IP, lea el artículo de Knowledge Base 309798.

· Bloquear los puertos afectados mediante el uso de IPSec en los sistemas afectados.
Utilice Seguridad del protocolo de Internet (IPSec) para ayudar a proteger las comunicaciones de red. En los artículos de Microsoft Knowledge Base 313190 y 813878 encontrará información detallada acerca de IPSec y de cómo aplicar filtros.

P+F de la vulnerabilidad de LSASS (CAN-2003-0533):

¿Cuál es el alcance de esta vulnerabilidad?

Se trata de una vulnerabilidad de saturación del búfer. Un atacante que aprovechara con éxito esta vulnerabilidad podría obtener de forma remota el control total de un sistema afectado, lo que incluye la posibilidad de instalar programas; ver, modificar o eliminar datos; o crear cuentas nuevas con privilegios completos.

¿Cuál es la causa de esta vulnerabilidad?

La existencia de un búfer sin comprobar en el servicio LSASS.

¿Qué es el LSASS?

El Servicio de subsistema de autorización de seguridad local (LSASS) ofrece una interfaz para administrar la seguridad local, la autenticación de dominios y los procesos de Active Directory. Gestiona la autenticación en el cliente y en el servidor. También contiene funciones utilizadas para soportar las utilidades de Active Directory.

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un intruso que aprovechara con éxito esta vulnerabilidad podría obtener el control completo del sistema afectado.

¿Quién podría aprovechar esta vulnerabilidad?

En las plataformas Windows 2000 y Windows XP, cualquier usuario anónimo que pudiera entregar un mensaje creado especialmente para el sistema afectado podría intentar aprovechar esta vulnerabilidad.

¿Cómo podría aprovechar un intruso la vulnerabilidad?

Un atacante podría aprovechar esta vulnerabilidad creando un mensaje especial y enviándolo a un sistema afectado, lo que provocaría que dicho sistema ejecutara el código.

Un atacante también podría tener acceso al componente afectado a través de otro punto. Por ejemplo, un atacante podría iniciar la sesión en el sistema interactivamente o utilizando otro programa que pasara parámetros al componente vulnerable (de forma local o remota).

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Windows 2000 y Windows XP son las plataformas con mayor riesgo de ser objeto de esta vulnerabilidad.

Windows Server 2003 y Windows XP 64-Bit Edition Versión 2003 incluyen protección adicional que requiere que sea el administrador quien inicie una sesión localmente en el sistema afectado para poder aprovechar esta vulnerabilidad.

¿Cómo funciona esta actualización?

Esta actualización elimina la vulnerabilidad modificando el modo que utiliza el servicio LSASS para validar la longitud de los mensajes antes de transferirlos al búfer asignado.

Esta actualización también elimina el código vulnerable de Windows 2000 Professional y Windows XP porque estas plataformas no precisan de la interfaz vulnerable. Con ello se mejora la protección ante posibles vulnerabilidades futuras en este servicio.

Vulnerabilidad LDAP (CAN-2003-0663):

Existe una vulnerabilidad de denegación de servicio que podría permitir que un atacante enviara un mensaje LDAP creado especialmente para tal propósito a un controlador de dominio de Windows 2000. Un atacante podría conseguir que dejara de responder el servicio responsable de autenticar a los usuarios de un dominio de Active Directory.

Factores atenuantes de la vulnerabilidad LDAP - CAN-2003-0663:

· Para aprovechar esta vulnerabilidad, un atacante tendría que enviar un mensaje LDAP creado especialmente al controlador de dominio. Si los puertos LDAP no se bloquean mediante un servidor de seguridad, los atacantes no requerirían privilegios adicionales para aprovechar este punto vulnerable.

· Esta vulnerabilidad sólo afecta a los controladores de dominio de Windows 2000 Server, pero no a los de Windows Server 2003.

· Windows NT 4.0 y Windows XP no se ven afectados por esta vulnerabilidad.

· Si un intruso lograra aprovechar esta vulnerabilidad, el sistema afectado podría mostrar un mensaje de advertencia avisando de que se reiniciará tras una cuenta atrás de 60 segundos. Tras acabar la cuenta atrás de 60 segundos, el sistema afectado se reiniciará automáticamente. Un administrador podría reiniciar el sistema afectado para restaurar la funcionalidad normal. Tras el reinicio, el sistema se restablecería con un funcionamiento normal; sin embargo, podría ser vulnerable a un ataque de denegación de servicio si no se aplica la actualización.

· Si se siguen las prácticas recomendadas relativas al uso de servidores de seguridad y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger una red de los ataques que se originen fuera del ámbito de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos.

Soluciones para la vulnerabilidad LDAP (CAN-2003-0663):

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

· Bloque los puertos TCP de LDAP 389, 636, 3268 y 3269 en el servidor de seguridad.

Estos puertos se utilizan para iniciar una conexión LDAP con un controlador de dominio de Windows 2000. Al bloquearlos en el servidor de seguridad, evitará que los sistemas situados detrás de dicho servidor de seguridad de intentos de aprovechar esta vulnerabilidad originados fuera del perímetro de la empresa. Aunque pueden utilizarse otros puertos para aprovechar esta vulnerabilidad, los puertos indicados son las vías más habituales de ataque. Microsoft recomienda bloquear toda la comunicación entrante no solicitada de Internet para ayudar a impedir ataques que puedan utilizar otros puertos.

Alcance de la solución: la autenticación de dominios de Active Directory no puede llevarse a cabo con una conexión de red en la que se hayan bloqueado estos puertos.

P+F de la vulnerabilidad LDAP (CAN-2003-0663):

¿Cuál es el alcance de esta vulnerabilidad?

Se trata de una vulnerabilidad de denegación de servicio. Un atacante que lograra aprovechar esta vulnerabilidad podría hacer que el servidor se reiniciara automáticamente y que, durante este tiempo, el servidor dejara de responder a las solicitudes de autenticación. Esta vulnerabilidad se ha detectado en los sistemas Windows 2000 Server que actúan como controlador de dominio. El único efecto existente en otros sistemas Windows 2000 es la posibilidad de que los clientes no puedan iniciar una sesión en el dominio si el controlador de dominio deja de responder.

¿Cuál es la causa de esta vulnerabilidad?

El procesamiento de mensajes LDAP creados especialmente por el servicio del subsistema de autenticación de la Autoridad de seguridad local (LSASS).

¿Qué es LDAP?

LDAP (protocolo ligero de acceso a directorios) es un protocolo estándar del sector que permite a los usuarios autorizados consultar o modificar los datos de un metadirectorio. Por ejemplo, en Windows 2000, LDAP es un protocolo utilizado para obtener acceso a los datos de Active Directory.

¿Qué problema existe en el procesamiento de los mensajes LDAP diseñados especialmente?

Un atacante podría enviar un mensaje LDAP diseñado especialmente al servicio LSASS y conseguir que dejara de responder.

¿Qué es el LSASS?

El Servicio de subsistema de autorización de seguridad local (LSASS) ofrece una interfaz para administrar la seguridad local, la autenticación de dominios y los procesos de Active Directory. Gestiona la autenticación en el cliente y en el servidor. También contiene funciones utilizadas para soportar las utilidades de Active Directory.

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría provocar que el servicio LSASS dejara de responder y que el sistema afectado se reiniciara. El sistema afectado podría mostrar un mensaje de advertencia que informara de su reinicio automático al cabo de una cuenta atrás de 60 segundos. Durante esta cuenta atrás de 60 segundos, es posible que no funcione la autenticación local de la consola del sistema afectado ni la autenticación de dominios de usuario. Tras acabar la cuenta atrás de 60 segundos, el sistema afectado se reiniciará automáticamente. Si los usuarios no pueden llevar a cabo la autenticación de dominios con el sistema afectado, es posible que no puedan obtener acceso a los recursos del dominio. Un administrador podría reiniciar el sistema afectado para restaurar la funcionalidad normal. Sin embargo, podría ser vulnerable a un ataque de denegación de servicio si no se aplica la actualización.

¿Quién podría aprovechar esta vulnerabilidad?

Cualquier usuario anónimo que logre entregar un mensaje LDAP diseñado especialmente al sistema afectado podría aprovechar esta vulnerabilidad.

¿Cómo podría aprovechar un intruso la vulnerabilidad?

Un atacante podría aprovechar esta vulnerabilidad mediante el envío de un mensaje LDAP diseñado especialmente a los controladores de dominio de uno o varios bosques, lo que podría llegar a causar un ataque de denegación de servicio de la autenticación de dominios de una empresa. El resultado podría ser que el servicio LSASS dejara de responder y provocara un reinicio del sistema afectado. Los atacantes no precisan ninguna cuenta de usuario válida en el dominio para enviar este mensaje LDAP diseñado especialmente: Este ataque puede realizarse con un acceso anónimo.

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Sólo son vulnerables los controladores de dominio de Windows 2000.

Utilizo Windows 2000. ¿Qué equipos debería actualizar?

La actualización que soluciona esta vulnerabilidad debe instalarse en los sistemas que actúan como controladores de dominio de Windows 2000. No obstante, la actualización también puede instalarse de forma segura en equipos Windows 2000 Server que desempeñen otras funciones. Microsoft recomienda aplicar esta actualización en los sistemas que se prevé que pasen a actuar como controladores de dominio próximamente.

¿Cómo funciona esta actualización?

La actualización elimina la vulnerabilidad al modificar el modo en que el servicio LSASS procesa el mensaje LDAP creado especialmente.

Vulnerabilidad PCT (CAN-2003-0719):

Se ha detectado una vulnerabilidad de saturación del búfer en la tecnología de comunicaciones privadas (PCT), parte de la biblioteca SSL. Sólo son vulnerables los sistemas con el servicio SSL habilitado, y algunos controladores de dominio de Windows 2000. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado.

Factores atenuantes de la vulnerabilidad del protocolo PCT (CAN-2003-0719):

· Sólo se ven afectados los sistemas en los que se ha habilitado el servicio SSL, que suelen ser únicamente los sistemas servidor. El soporte de SSL no está instalado de forma predeterminada en ninguno de los equipos afectados. Sin embargo, SSL se usa generalmente en servidores Web para dar soporte a programas de comercio electrónico, banca en línea y otros programas que requieren comunicaciones seguras.

· Windows Server 2003 sólo presenta este punto vulnerable si el administrador ha habilitado manualmente el protocolo PCT (incluso si está habilitado el servicio SSL).

· En algunas situaciones, las funciones de publicación en Web de ISA Server 2000 o Proxy Server 2.0 pueden llegar a bloquear los intentos de aprovechar esta vulnerabilidad. Las pruebas han demostrado que las funciones de publicación en Web de ISA Server 2000, con la función de filtrado de paquetes habilitada y todas las opciones de filtrado de paquetes seleccionadas, permiten bloquear este ataque sin aparentes efectos colaterales. Proxy Server 2.0 también bloquea satisfactoriamente este ataque. Sin embargo, hasta que no se aplique esta actualización en el sistema Proxy Server 2.0, el ataque provoca que los servicios Web de dicho sistema dejen de responder y que el sistema deba reiniciarse.

· Si se siguen las prácticas recomendadas relativas al uso de servidores de seguridad y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger una red de los ataques que se originen fuera del ámbito de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos.

Soluciones para la vulnerabilidad del protocolo PCT (CAN-2003-0719):

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

· Deshabilitar la compatibilidad con PCT desde el Registro

Esta solución se explica de forma pormenorizada en el artículo 187498 de Microsoft Knowledge Base (en inglés). El artículo se resume a continuación.

Los pasos siguientes muestran cómo deshabilitar el protocolo PCT 1.0, que evita que el sistema afectado pueda negociar su empleo.

Nota El uso incorrecto del Editor del Registro puede originar problemas graves que conlleven la reinstalación del sistema operativo. Microsoft no garantiza que los problemas derivados del uso incorrecto del Editor del Registro puedan resolverse. El Editor del Registro se utiliza bajo su propio riesgo.

Para obtener información sobre cómo editar el Registro, consulte el tema “Cambiar claves y valores” de la Ayuda del Editor del Registro (Regedit.exe) o los temas “Agregar y eliminar valores del Registro” y “Editar valores del Registro” de la Ayuda de Regedt32.exe.

Nota Es conveniente realizar una copia de seguridad del registro antes de editarlo.

1. Haga clic en Inicio, Ejecutar, escriba "regedt32" (sin las comillas) y haga clic en Aceptar.

2. En el Editor del Registro, ubique la siguiente clave del registro:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server
3. En el menú Edición, seleccione Agregar valor para crear el valor REG_BINARY, denominado "Habilitado" en la subclave Server.

4. En la lista Tipo de datos, haga clic en REG_BINARY.

5. En el cuadro de texto Nombre de valor, escriba "Habilitado" (sin las comillas) y haga clic en Aceptar.

Nota Si este valor ya existe, haga doble clic en el mismo para editar su valor actual y siga con el paso 6.

6. En el Editor binario, establezca el nuevo valor de las claves para que equivalgan a 0 mediante la siguiente cadena: 00000000.

7. Haga clic en Aceptar y reinicie el sistema.

Nota Para habilitar el protocolo PCT, cambie el valor “Habilitado” de la clave de registro a 00000001 y reinicie el sistema.

P+F de la vulnerabilidad del protocolo PCT (CAN-2003-0719):

¿Cuál es el alcance de esta vulnerabilidad?

Se ha detectado una vulnerabilidad de saturación del búfer en la tecnología de comunicaciones privadas (PCT), parte de la biblioteca SSL. Sólo son vulnerables los sistemas con el servicio SSL habilitado, y algunos controladores de dominio de Windows 2000.

Podrían verse afectadas todas las aplicaciones que utilicen SSL. Aunque SSL se asocia comúnmente a ISS a través de HTTPS y el puerto 443, cualquier servicio que utilice SSL en una plataforma afectada podría ser vulnerable. Entre ellas figuran, aunque hay otras, Servicios de Microsoft Internet Information Server 4.0, Servicios de Microsoft Internet Information Server 5.0, Servicios de Microsoft Internet Information Server 5.1, Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000, Microsoft Exchange Server 2003, Microsoft Analysis Services 2000 (suministrado con SQL Server 2000) y aplicaciones de otros fabricantes que utilicen el protocolo PCT. SQL Server 2000 no presenta esta vulnerabilidad porque bloquea específicamente las conexiones PCT.

Windows Server 2003 y Servicios de Internet Information Server 6.0 sólo son vulnerables ante este aspecto si algún administrador habilita el protocolo PCT manualmente (incluso si se habilita el servicio SSL).

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?

El proceso utilizado por la biblioteca SSL para comprobar las entradas de mensajes.

¿Qué es la biblioteca SSL?

La biblioteca de nivel de sockets seguro de Microsoft (SSL) admite una serie de protocolos de comunicación seguros. Entre ellos figuran Seguridad de la capa de transporte 1.0 (TLS 1.0), la Capa de sockets seguros 3.0 (SSL 3.0) y la antigua Capa de sockets seguros 2.0 (SSL 2.0) y el protocolo de Tecnología de comunicaciones privadas 1.0 (PCT 1.0).

Estos protocolos proporcionan una conexión cifrada entre un servidor y un sistema cliente. SSL puede ayudar a proteger información privada cuando ésta se transfiere por redes públicas como Internet. La compatibilidad SSL requiere un certificado SSL, que debe estar instalado en un servidor. Para obtener más información, lea el artículo 245152 de Microsoft Knowledge Base.

¿Qué es el protocolo PCT?

La tecnología de comunicaciones privadas (PCT) es un protocolo desarrollado por Microsoft y Visa International para garantizar la seguridad de las comunicaciones por Internet. Se desarrolló como alternativa a SSL 2.0. Es parecida a SSL. Los formatos de los mensajes presentan un nivel de semejanza suficiente para que un servidor pueda interactuar con clientes compatibles con SSL y con PCT.

PCT es un protocolo anterior que ha sido sustituido posteriormente por SSL 3.0 y que ya no se utiliza de forma habitual. La biblioteca SSL (Capa de Sockets seguros) de Microsoft ofrece exclusivamente compatibilidad inversa con PCT. La mayoría de las aplicaciones y servidores modernos utilizan SSL 3.0, por lo que PCT ya no es necesario. Para obtener información más detallada, visite el sitio web MSDN Library.
¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Quién podría aprovechar esta vulnerabilidad?

Cualquier atacante anónimo que pueda enviar un mensaje TCP diseñado especialmente al servicio SSL habilitado de un sistema afectado podría intentar aprovechar este punto vulnerable.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Un atacante podría aprovechar esta vulnerabilidad estableciendo una comunicación con el sistema afectado a través del servicio SSL habilitado y enviando un mensaje TCP creado especialmente. La recepción de dicho mensaje provocaría errores en el servicio afectado del sistema vulnerable de modo que pudiera ejecutarse el código en cuestión.

Un atacante también podría tener acceso al componente afectado a través de otro punto. Por ejemplo, un atacante podría iniciar la sesión en el sistema interactivamente o utilizando otro programa que pasara parámetros al componente vulnerable (de forma local o remota).

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Podrían verse afectadas todas las aplicaciones que utilicen SSL. Aunque SSL se asocia comúnmente a ISS a través de HTTPS y el puerto 443, cualquier servicio que utilice SSL en una plataforma afectada podría ser vulnerable. Entre ellas figuran, aunque hay otras, Servicios de Internet Information Server 4.0, Servicios de Internet Information Server 5.0, Servicios de Internet Information Server 5.1, Exchange Server 5.5, Exchange Server 2000, Exchange Server 2003, Analysis Services 2000 (suministrado con SQL Server 2000) y aplicaciones de otros fabricantes que utilicen el protocolo PCT. SQL Server 2000 no presenta esta vulnerabilidad porque bloquea específicamente las conexiones PCT.

Windows Server 2003 y Servicios de Internet Information Server 6.0 sólo son vulnerables ante este aspecto si algún administrador habilita el protocolo PCT manualmente (incluso si se habilita el servicio SSL).

Los dominios de Active Directory en los que se haya instalado una entidad emisora de certificados raíz de empresa también se ven afectados por esta vulnerabilidad porque los controladores de dominio de Windows 2000 escuchan automáticamente en busca de conexiones SSL.

¿Cómo se ve afectado Windows Server 2003?

La forma de implementación de PTC en Windows Server 2003 contiene la misma saturación de búfer que se puede encontrar en otras plataformas. Sin embargo, PTC está desactivado de forma predeterminada. Si el protocolo PCT se habilitara mediante una clave de registro, Windows Server 2003 podría entonces ser vulnerable ante esta situación. Por ello, Microsoft lanza una actualización de seguridad para Windows Server 2003 que corrige la saturación de búfer sin necesidad de habilitar el protocolo PCT.

¿Cómo funciona esta actualización?

La actualización elimina la vulnerabilidad mediante la modificación del modo en que la implementación de PCT valida la información que se transfiere a dicho protocolo: deshabilitando el protocolo PCT.

¿Esta actualización implica algún cambio de funcionamiento?

Sí. Aunque la actualización soluciona la vulnerabilidad del protocolo PCT, también lo deshabilita porque este protocolo ya no se utiliza y se ha sustituido por SSL 3.0. Este comportamiento es coherente con la configuración predeterminada de la plataforma Windows Server 2003. Si los administradores requieren PCT, pueden utilizar la clave de registro descrita en el apartado de soluciones para habilitarlo.

Vulnerabilidad Winlogon (CAN-2003-0806):

Existe una vulnerabilidad de saturación del búfer en el proceso de inicio de sesión en Windows (winlogon). El proceso no comprueba el tamaño de un valor utilizado durante el proceso de inicio de sesión antes de insertarlo en el búfer asignado. La saturación resultante podría permitir que un atacante ejecutara de forma remota código en un sistema afectado. Los sistemas que no forman parte de ningún dominio no se ven afectados por esta vulnerabilidad. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado.

Factores atenuantes de la vulnerabilidad de Winlogon (CAN-2003-0806):

· Sólo los sistemas Windows NT 4.0, Windows 2000 y Windows XP que son miembros de un dominio se ven afectados por esta vulnerabilidad. Windows Server 2003 no está afectado por esta vulnerabilidad.

· Un atacante necesitaría permisos para modificar los objetos de usuario de un dominio con objeto de intentar aprovechar esta vulnerabilidad. Normalmente, sólo los miembros de los grupos Administrador u Operador de cuenta tienen este permiso. Sin embargo, este permiso se puede delegar a otros usuarios de cuenta en el dominio.

· Los dominios suelen ser compatibles con la auditoría de cambios realizados en los objetos de usuario. La revisión de los registros de tales auditorías puede permitir determinar la cuenta de usuario que ha modificado malintencionadamente otras cuentas de usuario para aprovechar esta vulnerabilidad.

Soluciones para la vulnerabilidad de Winlogon (CAN-2003-0806):

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

· Reducir el número de usuarios con permisos de modificación de cuenta.

Para aprovechar esta vulnerabilidad, un atacante necesita poder modificar los objetos de usuario de un dominio. Algunas organizaciones agregan cuentas de usuario no necesarias a los grupos de administradores u operadores de cuenta. Por ejemplo, si un representante del departamento de soporte sólo necesita restablecer las contraseñas de usuario, el administrador debería delegarle exclusivamente este permiso, sin agregar al representante al grupo de operadores de cuenta.

Reducir el número de cuentas de usuario de los grupos administrativos también ayuda a bloquear las vías de ataque conocidas. Sólo los empleados de confianza deberían ser miembros de los grupos administrativos. Para obtener más información acerca de las prácticas recomendadas de dominios, consulte el siguiente sitio Web (en inglés).

P+F Winlogon (CAN-2003-0806):

¿Cuál es el alcance de esta vulnerabilidad?

Se trata de una vulnerabilidad de saturación del búfer. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?

Winlogon lee un valor del dominio pero no comprueba su tamaño antes de insertar el valor en el búfer asignado.

¿Qué es winlogon?

Winlogon es el componente del sistema operativo Windows que ofrece compatibilidad con el inicio de sesión interactivo. Winlogon.exe es el proceso que administra las interacciones de usuario relacionadas con la seguridad en Windows. Se encarga de las solicitudes de inicio de sesión y desconexión, de bloquear o desbloquear el sistema, cambiar las contraseñas y otras solicitudes. Este proceso lee datos del dominio durante el proceso de inicio de sesión, datos que utiliza para configurar el entorno del usuario. Para obtener más información acerca de Winlogon, visite el sitio Web de MSDN Library.

¿Qué es un dominio?
Los dominios pueden utilizarse para almacenar información sobre prácticamente cualquier objeto de la red como, por ejemplo, impresoras, ubicaciones de archivos compartidos e información personal. Si desea obtener más información sobre cómo crear dominios en Windows 2000 Server o Windows Server 2003, visite el siguiente sitio Web (en inglés).

¿Qué podría hacer un intruso que aprovechara esta vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Quién podría aprovechar esta vulnerabilidad?

Un atacante necesitaría permisos para modificar los objetos de usuario de un dominio con objeto de intentar aprovechar esta vulnerabilidad. Normalmente, sólo los miembros de los grupos Administrador u Operador de cuenta tienen este permiso. Sin embargo, este permiso se puede delegar a otros usuarios de cuenta en el dominio. Las cuentas de usuario sin este permiso o los usuarios anónimos no podrían aprovechar esta vulnerabilidad.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Un atacante podría modificar intencionadamente un valor almacenado en el dominio con objeto de incluir datos dañinos. Cuando este valor se transfiere a un búfer sin comprobar de Winlogon durante el proceso de inicio de sesión, Winlogon podría permitir que se ejecutara el código dañino.

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Sólo los sistemas Windows NT 4.0, Windows 2000 y Windows XP que son miembros de un dominio se ven afectados por esta vulnerabilidad.

¿Cómo funciona esta actualización?
Esta actualización elimina la vulnerabilidad modificando el modo que el proceso Winlogon valida la longitud del valor antes de transferirlo al búfer asignado.

Vulnerabilidad del metarchivo (CAN-2003-0906):

Existe una vulnerabilidad de saturación del búfer en la presentación de los formatos de imagen del metarchivo de Windows (WMF) y los metarchivos mejorados (EMF) a raíz de la cual podría permitirse la ejecución remota de código en un sistema afectado. Una aplicación que presenta imágenes WMF o EMF en los sistemas afectados podría ser vulnerable a este tipo de ataques. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado.

Factores atenuantes de la vulnerabilidad de los metarchivos CAN-2003-0906:

· Esta vulnerabilidad podría utilizarla sólo un atacante que lograra persuadir a un usuario para abrir un archivo diseñado especialmente o para ver un directorio con una imagen creada específicamente para tal fin. El atacante no puede obligar al usuario a abrir un archivo malintencionado.

· En el caso de un ataque basado en el Web, el intruso tendría que alojar un sitio Web que contuviera una página Web para aprovechar esta vulnerabilidad. El atacante no podría obligar a los usuarios a visitar un sitio Web problemático. Por tanto, tendría que atraerlos al sitio Web, normalmente incitándole a hacer clic en un vínculo que le lleve al mismo.

· Un atacante que aprovechase con éxito esta vulnerabilidad podría obtener los mismos privilegios que el usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos privilegios en el sistema correrían un riesgo menor que aquéllos que cuenten con privilegios administrativos.

· Windows Server 2003 no está afectado por esta vulnerabilidad.

Soluciones para la vulnerabilidad del metarchivo CAN-2003-0906:

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

· Leer mensajes de correo electrónico como texto sin formato si está utilizando Outlook 2002, o una versión posterior, o Outlook Express 6 SP1, o una versión posterior, para protegerse del tipo de ataque mediante correo electrónico HTML.

Los usuarios de Microsoft Outlook 2002 que han aplicado Office XP Service Pack 1 o una versión posterior, y los usuarios de Outlook Express 6 que han aplicado Internet Explorer 6 Service Pack 1 pueden habilitar una característica para ver sólo en texto sin formato todos los mensajes de correo electrónico que no estén firmados digitalmente o que no estén cifrados.

A los mensajes de correo electrónico firmados digitalmente o cifrados no les afecta esta configuración y pueden leerse en sus formatos originales. Para obtener más información, lea el artículo 307594 de Microsoft Knowledge Base.

Para obtener más información, lea el artículo 291387 de Microsoft Knowledge Base.

Consecuencias de la solución provisional:
Los mensajes vistos como texto sin formato no contienen imágenes, fuentes especiales, animaciones o contenido enriquecido. Además:

· Los cambios se aplican al panel de vista previa y a los mensajes abiertos.

· Las imágenes se conservan como archivos adjuntos.

· Como el formato del mensaje sigue siendo de texto enriquecido o HTML en el almacén, el modelo de objetos (soluciones de código personalizado) puede comportarse inesperadamente.

P+F de la vulnerabilidad del metarchivo (CAN-2003-0906):

¿Cuál es el alcance de esta vulnerabilidad?

Se trata de una vulnerabilidad de saturación del búfer. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?

Un búfer sin comprobar en la presentación de los formatos de imagen del metarchivo de Windows (WMF) y el metarchivo mejorado (EMF).

¿Qué son los formatos de imagen del metarchivo de Windows (WMF) y el metarchivo mejorado (EMF)?

Una imagen WMF es un formato de metarchivo de 16 bits que puede contener tanto información vectorial como información del mapa de bits. Está optimizada para el sistema operativo Windows.

Una imagen EMF es un formato de imagen de 32 bits que puede contener tanto información vectorial como información del mapa de bits. Este formato es una mejora del formato del metarchivo de Windows y presenta funciones ampliadas.

Para obtener más información sobre los tipos y formatos de imagen, consulte el artículo 320314 de Microsoft Knowledge Base (en inglés). También puede encontrar información adicional sobre estos formatos de archivo en MSDN Library (en inglés).

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Cualquier aplicación que presente los tipos de imagen afectados podría ser vulnerable a este ataque. Aquí se enumeran algunos ejemplos:

· Un intruso podría alojar un sitio Web malintencionado para aprovecharse de esta vulnerabilidad a través de Internet Explorer 6 y convencer a un usuario para que visite el sitio Web.

· Un atacante podría también crear un mensaje HTML con una imagen adjunta creada específicamente. Esta imagen creada específicamente podría diseñarse para aprovechar esta vulnerabilidad valiéndose de Outlook XP o Outlook Express 6 y convencer al usuario de que vea el mensaje de correo HTML.

· Un atacante podría incrustar una imagen diseñada especialmente en un documento de Office y convencer al usuario de que abra el documento.

· Un atacante podría colocar una imagen diseñada especialmente en el sistema de archivos local o en una red compartida y convencer al usuario de que obtenga una vista previa del directorio mediante el Explorador de Windows de Windows XP

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Esta vulnerabilidad podría utilizarla sólo un atacante que lograra persuadir a un usuario para abrir un archivo diseñado especialmente o para ver un directorio con una imagen creada específicamente para tal fin. El atacante no puede obligar al usuario a abrir un archivo malintencionado.

En el caso de un ataque basado en el Web, el intruso tendría que alojar un sitio Web que contuviera una página Web para aprovechar esta vulnerabilidad. El atacante no podría obligar a los usuarios a visitar un sitio Web problemático. Por tanto, tendría que atraerlos al sitio Web, normalmente incitándole a hacer clic en un vínculo que le lleve al mismo.

¿Cómo funciona esta actualización?

La actualización elimina la vulnerabilidad al modificar la manera en que Windows valida los tipos de imagen afectados.

Vulnerabilidad del Centro de ayuda y soporte técnico (CAN-2003-0907):

Existe una vulnerabilidad de ejecución de código remoto en el Centro de ayuda y soporte técnico debido al modo en que dicho centro se encarga de realizar la validación HCP URL. Un intruso podría aprovechar esta vulnerabilidad mediante la construcción de una HCP URL que llegara a lograr permitir la ejecución de código remoto cuando un usuario visitara un sitio Web malintencionado o visualizara un correo electrónico del mismo tipo. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado.

Factores atenuantes de la vulnerabilidad del Centro de ayuda y soporte técnico - CAN-2003-0907:

· En el caso de un ataque basado en el Web, el intruso tendría que alojar un sitio Web que contuviera una página Web para aprovechar esta vulnerabilidad. El atacante no podría obligar a los usuarios a visitar un sitio Web problemático. Por tanto, tendría que atraerlos al sitio Web, normalmente incitándole a hacer clic en un vínculo que le lleve al mismo.

· De forma predeterminada, Outlook Express 6, Outlook 2002 y Outlook 2003 abren los mensajes de correo electrónico HTML dentro de la zona Sitios restringidos. Además, Outlook 98 y Outlook 2000 abren los mensajes de correo electrónico HTML dentro de la zona Sitios restringidos si se ha instalado la Actualización de seguridad para correo electrónico de Outlook. La zona Sitios restringidos ayuda a reducir los ataques que podrían aprovechar esta vulnerabilidad.

El riesgo de sufrir un ataque mediante un mensaje de correo electrónico HTML se puede reducir de forma significativa si se cumplen todas las siguientes condiciones:

· Aplicación de la actualización incluida en el boletín de seguridad de Microsoft MS04-004

· Uso de Internet Explorer 6 o posterior.

· Uso de la Actualización de seguridad para correo electrónico de Outlook o Microsoft Outlook Express 6, o una versión posterior, o Microsoft Outlook 2000 SP2, o una versión posterior, en su configuración predeterminada.

· Un atacante que aprovechase con éxito esta vulnerabilidad podría obtener los mismos privilegios que el usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos privilegios en el sistema correrían un riesgo menor que aquéllos que cuenten con privilegios administrativos.

· Windows NT 4.0 y Windows 2000 no se ven afectados por esta vulnerabilidad.

Soluciones para la vulnerabilidad del Centro de ayuda y soporte técnico (CAN-2003-0907):

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

· Eliminar el registro del protocolo HCP.

Para ayudar a evitar ataques, elimine el registro del protocolo HCP eliminando la siguiente clave del Registro: HKEY_CLASSES_ROOT\HCP. Para ello, siga estos pasos:

1. Haga clic en Inicio y, después, en Ejecutar.

2. Escriba regedit y haga clic en Aceptar.
Se iniciará el programa Editor del Registro.

3. Despliegue HKEY_CLASSES_ROOT y resalte la clave HCP.

4. Haga clic con el botón secundario en la clave HCP y seleccione Eliminar

Nota El uso incorrecto del Editor del Registro puede originar problemas graves que conlleven la reinstalación de Windows. Microsoft no garantiza que los problemas derivados del uso incorrecto del Editor del Registro puedan resolverse. El Editor del Registro se utiliza bajo su propio riesgo.

Consecuencias de la solución provisional: La eliminación del registro del protocolo HCP romperá todos los vínculos de ayuda locales legítimos que utilicen hcp://. Por ejemplo, es posible que dejen de funcionar los vínculos del Panel de control.



· Instalar la Actualización de seguridad para correo electrónico de Outlook si está usando Outlook 2000 SP1 o una versión anterior

De forma predeterminada, Outlook Express 6, Outlook 2002 y Outlook 2003 abren los mensajes de correo electrónico HTML dentro de la zona Sitios restringidos. Además, Outlook 98 y Outlook 2000 abren los mensajes de correo electrónico HTML dentro de la zona Sitios restringidos si se ha instalado la Actualización de seguridad para correo electrónico de Outlook.

Los clientes que utilicen cualquiera de estos productos correrán un riesgo reducido de un ataque mediante correo electrónico que intente aprovechar estos puntos vulnerables a no ser que hagan clic en un vínculo malintencionado del mensaje.

· Leer mensajes de correo electrónico como texto sin formato si está utilizando Outlook 2002, o una versión posterior, o Outlook Express 6 SP1, o una versión posterior, para protegerse del tipo de ataque mediante correo electrónico HTML.

Los usuarios de Microsoft Outlook 2002 que han aplicado Office XP Service Pack 1 o una versión posterior, y los usuarios de Outlook Express 6 que han aplicado Internet Explorer 6 Service Pack 1 pueden habilitar una característica para ver sólo en texto sin formato todos los mensajes de correo electrónico que no estén firmados digitalmente o que no estén cifrados.

A los mensajes de correo electrónico firmados digitalmente o cifrados no les afecta esta configuración y pueden leerse en sus formatos originales. Para obtener más información, lea el artículo 307594 de Microsoft Knowledge Base.

Para obtener más información, lea el artículo 291387 de Microsoft Knowledge Base.

Consecuencias de la solución provisional:
Los mensajes vistos como texto sin formato no contienen imágenes, fuentes especiales, animaciones o contenido enriquecido. Además:

· Los cambios se aplican al panel de vista previa y a los mensajes abiertos.

· Las imágenes se conservan como archivos adjuntos.

· Como el formato del mensaje sigue siendo de texto enriquecido o HTML en el almacén, el modelo de objetos (soluciones de código personalizado) puede comportarse inesperadamente.

P+F de la vulnerabilidad del Centro de ayuda y soporte técnico (CAN-2003-0907):

Existe una vulnerabilidad de ejecución remota de código en la función de Centro de ayuda y soporte. La función de Centro de ayuda y soporte técnico se suministra como parte de los sistemas afectados. Esta vulnerabilidad se debe al modo en que este Centro lleva a cabo la validación HCP URL.

¿Cuál es el alcance de esta vulnerabilidad?

Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que lograra aprovechar este error podría hacerse con todo el control del sistema afectado. De esta forma, podría realizar cualquier tipo de acción en el sistema como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?
El proceso que utiliza el Centro de ayuda y soporte técnico para validar las entradas de datos.

¿Qué es el Centro de ayuda y soporte técnico?
El Centro de ayuda y soporte técnico es una función de Windows que proporciona ayuda sobre una gran variedad de temas. Por ejemplo, este centro permite a los usuarios aprender las funciones de Windows, descargar e instalar actualizaciones de software, determinar si un dispositivo de hardware concreto es compatible con Windows, obtener asistencia de Microsoft, etc. Tanto los usuarios como los programas pueden utilizar vínculos URL con el Centro de ayuda y soporte técnico utilizando el prefijo “hcp://” en los vínculos URL, en lugar de “http://”.


¿Qué es el protocolo HCP?
Al igual que el protocolo HTTP, que se utiliza para ejecutar vínculos URL y abrir un explorador Web, el protocolo HCP puede utilizarse para ejecutar vínculos URL para abrir el Centro de ayuda y soporte técnico.

¿Qué problema tiene el Centro de ayuda y soporte técnico?
Se produce un error en la validación de la entrada.

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.



¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Para aprovechar esta vulnerabilidad, un atacante debería alojar un sitio Web con fines malintencionados y convencer al usuario de que lo visitara. El intruso también podría crear un mensaje de correo electrónico HTML con un vínculo diseñado especialmente y persuadir al usuario para que vea dicho mensaje de correo HTML o para que haga clic en el vínculo. Si el usuario hace clic en el vínculo, se abriría una ventana de Internet Explorer con una HCP URL elegida por el intruso, dirección que permitiría la ejecución de código arbitrario.

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Windows XP y Windows Server 2003 contienen la versión afectada del Centro de ayuda y soporte técnico. Windows NT 4.0 y Windows 2000 no se ven afectados porque no incluyen este Centro.

Estoy ejecutando Internet Explorer en Windows Server 2003. ¿Soluciona esto la vulnerabilidad en Windows Server 2003?
No. De forma predeterminada, Internet Explorer en Windows Server 2003 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada de Internet Explorer. No obstante, el protocolo HCP puede acceder al Centro de ayuda y soporte de forma predeterminada. Por lo tanto, Windows Server 2003 también es vulnerable.

Para obtener más información acerca de la Configuración de seguridad mejorad de Internet Explorer, consulte el siguiente sitio Web (en inglés).

¿Cómo funciona esta actualización?

Esta actualización elimina la vulnerabilidad mediante la modificación del proceso de validación de los datos que se transfieren al Centro de ayuda y soporte técnico.

Vulnerabilidad del Administrador de utilidades (CAN-2003-0908):

Existe una vulnerabilidad de elevación de privilegios en el modo en que el Administrador de utilidades inicia las aplicaciones. Así, un usuario que haya iniciado una sesión podría utilizar el Administrador de utilidades para iniciar una aplicación con privilegios del sistema y hacerse de este modo con el control total del sistema.

Factores atenuantes de la vulnerabilidad del Administrador de utilidades - CAN-2003-0908:

· Para aprovechar este punto vulnerable, el usuario debe de tener unas credenciales de inicio de sesión válidas. Usuarios remotos no pueden aprovechar esta vulnerabilidad.

· Windows NT 4.0, Windows XP y Windows Server 2003 no se ven afectados por esta vulnerabilidad. Windows NT 4.0 no incluye el Administrador de utilidades.

· La publicación Manual de seguridad estricta de Windows 2000 (en inglés) recomienda deshabilitar el servicio del Administrador de utilidades. Los entornos que cumplen estas directrices presentan un riesgo reducido ante esta vulnerabilidad.

Soluciones para la vulnerabilidad del Administrador de utilidades (CAN-2003-0908):

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

Utilizar directivas de software para deshabilitar el Administrador de utilidades de todos los sistemas afectados que no precisen esta función.

Dado que el servicio del Administrador de utilidades puede ser blanco de ataques, se puede deshabilitar utilizando las directivas de restricción de software. El nombre de proceso del Administrador de utilidades es utilman.exe. Las siguientes publicaciones ofrecen información sobre cómo permitir a los usuarios el únicamente el uso de aplicaciones permitidas por las directivas de restricción de software.

Nota: También puede consultar la publicación Windows 2000 Hardening Guide. Esta guía incluye información acerca de cómo desactivar el Administrador de utilidades.

Consecuencias de la solución provisional:
El Administrador de utilidades proporciona muchas de las funciones de accesibilidad del sistema operativo. Este acceso no estará disponible hasta que se eliminen las restricciones. Para obtener información sobre cómo iniciar manualmente las funciones de accesibilidad, visite el siguiente sitio Web.
P+F sobre la vulnerabilidad del Administrador de utilidades (CAN-2003-0908):

¿Cuál es el alcance de esta vulnerabilidad?

Ésta es una vulnerabilidad de elevación de privilegios. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?

El proceso que utiliza el Administrador de utilidades para iniciar las aplicaciones. Es posible que el Administrador de utilidades inicie aplicaciones con privilegios del sistema.

¿Qué es el Administrador de utilidades?
El Administrador de utilidades es una utilidad de accesibilidad que permite a los usuarios comprobar el estado de los programas de accesibilidad (tales como el Ampliador de Microsoft, el Narrador o el Teclado en pantalla) y ejecutarlos o detenerlos.

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Quién podría aprovechar esta vulnerabilidad?

Un atacante tendría que iniciar una sesión en el sistema, iniciar el Administrador de utilidades y ejecutar un programa que enviase un mensaje especialmente diseñado al Administrador de utilidades para aprovechar este punto vulnerable.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Para aprovechar esta vulnerabilidad, el intruso tendría que iniciar primero el Administrador de utilidades en Windows 2000 y a continuación ejecutar una aplicación diseñada especialmente y que permitiera aprovechar la vulnerabilidad. En las configuraciones predeterminadas de Windows 2000, el Administrador de utilidades está instalado pero no está en ejecución. Esta vulnerabilidad podría permitir a un intruso controlar completamente un sistema Windows 2000.

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Sólo el sistema Windows 2000 se ve afectado por esta vulnerabilidad. Las estaciones de trabajo y servidores de terminal de Windows 2000 son los componentes con un mayor riesgo de sufrir ataques de este tipo. Los servidores sufrirán riesgos solamente si algún usuario que no tenga las suficientes credenciales administrativas tiene la capacidad de iniciar sesiones en el servidor y ejecutar programas Sin embargo, las prácticas recomendadas desaconsejan permitir esto.

Utilizo Windows 2000, pero no estoy usando el Administrador de utilidades ni ninguna de las funciones de accesibilidad. ¿Sigo siendo vulnerable?
Sí. El Administrador de utilidades se instala de forma predeterminada. No obstante, el Administrador de utilidades no se activa de forma predeterminada.

¿Puede aprovecharse esta vulnerabilidad a través de Internet?
No. El intruso debe ser capaz de iniciar una sesión en el sistema específico que desea atacar. Un intruso no puede cargar y ejecutar un programa de forma remota utilizando esta vulnerabilidad.

¿Cómo funciona esta actualización?

Esta actualización elimina la vulnerabilidad mediante la modificación del modo en que el Administrador de utilidades inicia las aplicaciones.

Vulnerabilidad de la administración de Windows (CAN-2003-0909)

Existe una vulnerabilidad de elevación de privilegios en el modo en que Windows XP permite que se creen las tareas. En condiciones especiales, un usuario sin privilegios podría crear una tarea que se ejecutara con permisos del sistema y, así, lograr hacerse con el control del sistema.

Factores atenuantes de la vulnerabilidad de administración de Windows - CAN-2003-0909:

· Para aprovechar este punto vulnerable, el usuario debe de tener unas credenciales de inicio de sesión válidas. Esta vulnerabilidad no pueden aprovecharla los usuarios anónimos.

· Windows NT 4.0, Windows 2000 y Windows Server 2003 no se ven afectados por esta vulnerabilidad.

Soluciones para la vulnerabilidad de administración de Windows (CAN-2003-0909):

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

Eliminar el proveedor afectado de la interfaz de administración de Windows.

Un administrador con permisos administrativos locales puede eliminar el proveedor WMI afectado mediante la inserción de la siguiente secuencia de comandos en un archivo de texto con la extensión ‘.vbs’ y su posterior ejecución.

Para eliminar el proveedor WMI afectado:

set osvc = getobject("winmgmts:root\cimv2")

set otrigger = osvc.get("__win32provider='cmdtriggerconsumer'")

otrigger.delete_



La instalación de la actualización vuelve a registrar de forma automática el proveedor WMI indicado más arriba. No es necesario realizar pasos adicionales para restaurar el sistema a su funcionalidad habitual tras aplicar la actualización.

Consecuencias de la solución provisional: Las tareas creadas como desencadenadores basados en sucesos no funcionarán mientras dicho proveedor no esté registrado. Puede encontrar más información sobre los desencadenadores basados en sucesos en el siguiente sitio Web (en inglés).

Nota En algunas ocasiones, Windows XP podría volver a registrar este proveedor WMI. Por ejemplo, si Windows XP detecta que se ha dañado el depósito WMI, podría intentar volver a registrar el proveedor WMI afectado.

P+F de la vulnerabilidad de la administración de Windows (CAN-2003-0909):

¿Cuál es el alcance de esta vulnerabilidad?

Ésta es una vulnerabilidad de elevación de privilegios. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?

En condiciones especiales, un usuario sin privilegios de Microsoft Windows XP podría crear una tarea que se ejecutara con permisos de sistema.

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Para aprovechar esta vulnerabilidad es preciso que el atacante pueda iniciar una sesión en el sistema y crear una tarea. Dado que el intruso debe disponer de credenciales de inicio de sesión válidas para ello, los sistemas remotos no presentan riesgo de ser blanco de estos ataques.

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Sólo el sistema Windows XP se ve afectado por esta vulnerabilidad.

¿Cómo funciona esta actualización?

La actualización elimina la vulnerabilidad evitando que los usuarios creen tareas con un nivel de privilegios superior.

¿Contiene esta actualización algún otro cambio en relación con el comportamiento?
Sí. Esta actualización también incluye varios cambios funcionales que se describen a continuación:

· Antes de esta actualización, existían situaciones en los que un usuario podía crear desencadenadores basados en sucesos mediante la herramienta Eventtriggers.exe de la línea de comandos sin tener que suministrar ningún nombre de usuario ni contraseña. Una vez instalada la actualización, el usuario tiene que indicar un nombre de usuario y una contraseña válidos si desea crear desencadenadores basados en sucesos mediante Eventttrigers.exe. Para obtener información detallada sobre las opciones de la línea de comandos “eventtriggers.exe”, visite el siguiente sitio Web (en inglés).

· Antes, los administradores podían crear desencadenadores basados en sucesos incluso si el servicio Programador de tareas estaba deshabilitado o no funcionaba. Ahora es indispensable que este servicio esté funcionando. Para obtener más información sobre el Programador de tareas, visite el siguiente sitio Web (en inglés).

· En esta actualización también se ha establecido un límite nuevo de 1.000 desencadenadores. Los desencadenadores basados en sucesos existentes que superen este límite seguirán funcionando una vez aplicada la actualización. Pero no así para los desencadenadores que se creen con posterioridad.

· Se ha aumentado el rigor de los permisos para los desencadenadores basados en sucesos que se creen con posterioridad a la aplicación de la actualización.

Vulnerabilidad de la tabla de descriptor local (CAN-2003-0910)

Existe una vulnerabilidad de elevación de privilegios en una interfaz de programación utilizada para crear entradas en la tabla de descriptor local (LDT). Estas entradas contienen información sobre segmentos de la memoria. Un intruso que inicie una sesión localmente y que pudiera crear una entrada malintencionada con la que lograra obtener acceso a la memoria protegida, podría hacerse con el control del sistema.

Factores atenuantes de la vulnerabilidad de la tabla de descriptor local - CAN-2003-0910:

· Para aprovechar esta vulnerabilidad, un intruso debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local. Esta vulnerabilidad no puede aprovecharse remotamente.

· Windows XP y Windows Server 2003 no se ven afectados por esta vulnerabilidad.

Soluciones para la vulnerabilidad de la tabla de descriptor local (CAN-2003-0910):

Ninguna.

P+F de la vulnerabilidad de la tabla de descriptor local (CAN-2003-0910):

¿Cuál es el alcance de esta vulnerabilidad?

Ésta es una vulnerabilidad de elevación de privilegios. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?

La interfaz de programación utilizada para crear entradas en la LDT. Estas entradas contienen información sobre segmentos de la memoria. Un atacante podría crear una entrada maliciosa para obtener acceso al kernel protegido de la memoria.

¿Qué es la tabla de descriptor local?

La Tabla de descriptor local (LTD) contiene entradas llamadas descriptores. Estos descriptores contienen información que define un segmento particular de la memoria.

¿Qué problema hay con el modo en que se puede crear una entrada de descriptor en la tabla LDT?

La interfaz de programación no debería permitir que las aplicaciones crearan entradas de descriptor en la tabla de descriptor local relativas a las áreas de memoria protegida.

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un atacante que lograra aprovechar este error podría hacerse con el control del sistema afectado. De esta forma, podría realizar cualquier tipo de acción en el sistema como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los privilegios.

¿Quién podría aprovechar esta vulnerabilidad?

Es preciso que el intruso puede iniciar una sesión localmente en el sistema, y ejecutar un programa, para aprovechar esta vulnerabilidad.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Antes de aprovechar esta vulnerabilidad, el intruso debería iniciar sesión en el sistema. A continuación, el intruso podría ejecutar una aplicación diseñada especialmente para que le permitiera aprovechar este error y lograr obtener el control total del sistema afectado.

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Los sistemas con más riesgo de sufrir un ataque son las estaciones de trabajo y los servidores de servicios de Terminal Server. Los servidores sufrirán riesgos solamente si algún usuario que no tenga las suficientes credenciales administrativas tiene la capacidad de iniciar sesiones y ejecutar programas Sin embargo, las prácticas recomendadas desaconsejan permitir esto.

¿Puede aprovecharse esta vulnerabilidad a través de Internet?
No. El intruso debe ser capaz de iniciar una sesión en el sistema específico que desea atacar. Un intruso no puede cargar y ejecutar un programa de forma remota utilizando esta vulnerabilidad.

¿Cómo funciona esta actualización?

La actualización elimina la vulnerabilidad mediante la modificación del modo en que se crean las entradas de los descriptores en la tabla LDT.

Vulnerabilidad H.323 - CAN-2004-0117

Existe una vulnerabilidad de ejecución remota de código en el modo en el que la implementación del protocolo H.323 de Microsoft trata las solicitudes con formato incorrecto. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado.

Factores atenuantes de la vulnerabilidad H.323 - CAN-2004-0117:

· En los casos más comunes, NetMeeting (que utiliza el protocolo H.323) debe ejecutarse para ser vulnerable.

· En los casos más comunes, los sistemas que utilizan el Servidor de seguridad de conexión a Internet (ICF) y no ejecutan ninguna aplicación basada en H.323 no son vulnerables.

· Windows NT 4.0 no se ve afectado por esta vulnerabilidad a menos que un administrador haya instalado manualmente la versión independiente de NetMeeting.

Soluciones para la vulnerabilidad H.323 - CAN-2004-0117:

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

· Bloquear el tráfico entrante y saliente de los puertos TCP 1720 y 1503 en el servidor de seguridad.

Si se siguen las prácticas recomendadas relativas al uso de servidores de seguridad y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger una red de los ataques que se originen fuera del ámbito de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos. Microsoft recomienda bloquear toda la comunicación entrante no solicitada de Internet para ayudar a impedir ataques que puedan utilizar otros puertos.

Consecuencias de la solución provisional:

Si se bloquea el tráfico entrante y saliente para los puertos TCP 1503 y 1720, los usuarios no podrán conectar al Servidor de seguridad de conexión a Internet (ILS) ni a otros clientes de NetMeeting.

Preguntas más frecuentes sobre la vulnerabilidad H.323 - CAN-2004-0117:

¿Cuál es el alcance de esta vulnerabilidad?

Se trata de una vulnerabilidad de saturación del búfer. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?

La existencia de búferes no comprobados en la implementación del protocolo H.323 de Microsoft.

¿Qué es H.323?

H.323 es un estándar UTI que especifica cómo los terminales (PC), los equipos y los servicios de multimedia se comunican a través de redes que no garantizan la calidad de servicio (como Internet). Los terminales y los equipos que utilizan el protocolo H.323 pueden procesar vídeo, voz y datos en tiempo real, o cualquier combinación de estos elementos. Los productos que utilizan el protocolo H.323 para transmitir audio y vídeo permiten que los usuarios se conecten y comuniquen con otras personas a través de Internet, del mismo modo que se comunican las personas que utilizan diferentes marcas y modelos de teléfono.

¿Qué aplicaciones afectadas utilizan el protocolo H.323?

El protocolo H.323 lo utilizan una serie de aplicaciones y componentes del sistema operativo de Microsoft. Este problema puede afectar a los sistemas que ejecuten uno o más de los siguientes servicios o aplicaciones:

· Aplicaciones basadas en la Interfaz de programación de aplicaciones de telefonía (TAPI)

· NetMeeting

· Servidor de seguridad de conexión a Internet (ICF)

· Servidor compartido de conexión a Internet.

· Herramientas de servicio de acceso remoto y enrutamiento de Microsoft?







¿Qué es TAPI?

La Interfaz de programación de aplicaciones de telefonía (TAPI) es parte de la arquitectura abierta del sistema de Windows. Permite a los desarrolladores crear aplicaciones de telefonía. TAPI es un estándar de la industria abierto, definido mediante datos considerables y continuos procedentes de la comunidad global de telefonía y equipos informáticos. Dado que TAPI es independiente del hardware, las aplicaciones compatibles pueden ejecutarse en diferentes productos de telefonía y equipos, y admiten diversos servicios de red. TAPI utiliza el protocolo H.323. Las aplicaciones que utilizan TAPI pueden ser vulnerables al problema descrito en este boletín.

¿Hay alguna aplicación H.323 basada en TAPI instalada de forma predeterminada en alguno de los equipos afectados?

La aplicación Marcador de teléfono de Microsoft es la única que se basa en TAPI H.323 y está instalada de forma predeterminada en Windows 2000 y Windows XP. Las aplicaciones de otros fabricantes pueden habilitar y utilizar la funcionalidad del protocolo H.323 en TAPI.

Nota La aplicación Marcador de teléfono de Microsoft no se incluye en Windows Server 2003.

¿Qué es NetMeeting?

NetMeeting proporciona una completa solución para conferencias de empresa e Internet a todos los usuarios de Windows, incluyendo conferencias de datos multipunto, charla mediante texto, pizarra, y transferencia de archivos; además de audio y vídeo de punto a punto. NetMeeting utiliza el protocolo H.323 y está instalado en todos los sistemas afectados, pero no se ejecuta de forma predeterminada.

Ejecuto NetMeeting pero no el Servidor compartido de conexión a Internet, ICF o el Servicio de acceso remoto y enrutamiento. ¿Sigo siendo vulnerable?

Sí. Mientras ejecute NetMeeting, será vulnerable a este problema.

Si ejecuto NetMeeting, pero no está conectado a un servidor ILS ni en una sesión de igual a igual, ¿soy vulnerable?

Sí, a menos que los puertos TCP 1720 y 1503 se hayan bloqueado en el sistema.

Si nunca he instalado la versión independiente de NetMeeting, ¿soy vulnerable?

NetMeeting se suministró como parte de Windows 2000, Windows XP y Windows Server 2003. Esta actualización va dirigida a versiones de NetMeeting que se proporcionaban con dichos sistemas operativos. NetMeeting también se podía descargar de forma independiente para otros sistemas operativos y se incluía como parte de otras aplicaciones, que también podrían ser vulnerables a este problema. Si ha instalado la versión independiente de NetMeeting, debe ejecutar la actualización que se ocupa de esta vulnerabilidad. Para descargar la versión actualizada, visite el siguiente sitio Web.

¿Están afectados Windows 98, Windows 98 Second Edition o Windows Millennium Edition de forma crítica por esta vulnerabilidad?

No. Aunque estos sistemas operativos puedan incluir NetMeeting, la vulnerabilidad no es grave para ellos. Para solucionar esta vulnerabilidad puede descargar e instalar la versión independiente de NetMeeting para dichos sistemas operativos, en el siguiente sitio Web. Para obtener más información acerca de la gravedad, visite el siguiente sitio Web.

¿Qué es el Servidor de seguridad de conexión a Internet?

El Servidor de seguridad de conexión a Internet (ICF) proporciona funcionalidad básica para prevenir intrusiones en los sistemas que ejecutan Windows® XP o Windows Server 2003. Se ha diseñado para sistemas directamente conectados a una red pública y para sistemas que forman parte de una red doméstica cuando se utilizan con Conexión compartida a Internet Connection.

Si sólo ejecuto el Servidor de seguridad de conexión a Internet en Windows XP o Windows Server 2003, ¿sigo siendo vulnerable?

No, no de forma automática. Sin embargo, si utiliza NetMeeting, incluso con ICF en ejecución, podría ser vulnerable a este problema. NetMeeting abrirá los puertos de ICF que pueden exponerse a esta vulnerabilidad.

Si abre manualmente los puertos TCP 1720 y 1503 también puede exponerse a esta vulnerabilidad. Las aplicaciones de otros fabricantes también pueden provocar que ICF abra los puertos para responder a las solicitudes de comunicación del protocolo H.323.

¿Qué es el Servidor compartido de conexión a Internet?

Mediante la Conexión compartida a Internet (ICS), los usuarios pueden conectar un sistema a Internet y compartir los servicios Internet con otros sistemas en una red pequeña de oficina o una red doméstica. El Asistente para configuración de red de Windows XP proporcionará automáticamente la configuración de red necesaria para compartir una conexión a Internet con todos los sistemas de una red. Los sistemas pueden utilizar programas como Internet Explorer y Outlook Express como si estuvieran conectados a Internet.

ICS es una función de Windows 2000, Windows XP y Windows Server 2003, pero no está habilitado de forma predeterminada en ninguno de los sistemas afectados.

Si he habilitado la Conexión compartida a Internet (ICS), pero no el Servidor de seguridad de conexión a Internet (ICF), ¿soy vulnerable?

Sí, ICS habilita los puertos que permiten que el sistema sea vulnerable a este problema.

Si tanto ICF como ICS se están ejecutando, el ataque no sería posible a menos que el usuario estuviera utilizando también la aplicación NetMeeting, o hubiera abierto manualmente los puertos 1503 o 1720.

¿Qué son las Herramientas de servicio de acceso remoto y enrutamiento?

Las Herramientas de servicio de acceso remoto y enrutamiento permiten que un sistema que ejecute Windows 2000 Server o la familia de productos Windows Server 2003 funcione como un enrutador de red. El acceso remoto permite a los usuarios con sistemas remotos crear una conexión lógica con la red de la organización o con Internet. RRAS admite solicitudes del protocolo H.323 que se enruten hacia o desde una red.

Si ejecuto RRAS en Windows 2000, ¿sigo siendo vulnerable?

Sí. De forma predeterminada, Windows 2000 utiliza RRAS con la funcionalidad NAT, que expone a la vulnerabilidad. No obstante, un administrador puede deshabilitar la funcionalidad H.323 utilizando el comando netsh. El artículo 838834 de Microsoft Knowledge Base describe los pasos.

Nota Si un sistema se configura para ejecutar otra herramienta RRAS sin funcionalidad NAT (por ejemplo, VPN, OSPF o RIP), no se vería afectado por la vulnerabilidad.

Si ejecuto RRAS en Windows Server 2003, ¿sigo siendo vulnerable?

No. De forma predeterminada, Windows Server 2003 RRAS no habilita la funcionalidad H.323. No obstante, un administrador podría habilitar esa funcionalidad y exponer el sistema a la vulnerabilidad.

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Quién podría aprovechar esta vulnerabilidad?

Cualquier usuario anónimo podría enviar una solicitud H.323 especialmente diseñada a cualquiera de los sistemas previos afectados.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

El intruso podría aprovechar esta vulnerabilidad localizando a los usuarios que ejecuten NetMeeting o una aplicación TAPI basada en H.323.

Un intruso podría aprovechar la vulnerabilidad a través de la Conexión compartida a Internet (ICS) para ejecutar código de forma remota en sistemas que tengan la conexión habilitada. Si tanto ICF como ICS se están ejecutando, el ataque no sería posible a menos que el usuario estuviera utilizando también la aplicación NetMeeting.

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Los sistemas que ejecuten NetMeeting o aplicaciones basadas en H.323.

¿Cómo funciona esta actualización?

La actualización modifica el modo en el que los sistemas afectados procesan las solicitudes H.323 especialmente diseñadas.

Vulnerabilidad Máquina DOS virtual - CAN-2004-0118:

Existe una vulnerabilidad de elevación de privilegios en el componente del sistema operativo que trata el subsistema Máquina DOS virtual (VDM). Esta vulnerabilidad podría permitir que un usuario con una sesión abierta tomara control completo del sistema.

Factores atenuantes de la vulnerabilidad Máquina DOS virtual - CAN-2004-0118:

· Para aprovechar esta vulnerabilidad, un intruso debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local. Esta vulnerabilidad no puede aprovecharse remotamente.

· Windows XP y Windows Server 2003 no se ven afectados por esta vulnerabilidad.

Soluciones a la vulnerabilidad Máquina DOS virtual - CAN-2004-0118:

Ninguna.

Preguntas más frecuentes sobre la vulnerabilidad Máquina DOS virtual - CAN-2004-0118:

¿Cuál es el alcance de esta vulnerabilidad?

Ésta es una vulnerabilidad de elevación de privilegios. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios. Para aprovechar esta vulnerabilidad, el intruso debería ser capaz de iniciar una sesión local en el sistema y ejecutar un programa.



¿Cuál es la causa de esta vulnerabilidad?

El componente del sistema operativo que trata el subsistema VDM se podría utilizar para obtener acceso a la memoria del núcleo protegida. En determinadas circunstancias, algunas funciones del sistema operativo con privilegios podrían no validar las estructuras del sistema y permitir que un intruso ejecutara código dañino con privilegios del sistema.



¿Qué es el subsistema Máquina DOS virtual (VDM)?

Una Máquina DOS virtual es un entorno protegido que emula a MS-DOS y Windows basado en DOS en sistemas operativos basados en Windows NT. VDM se crea cuando un usuario inicia una aplicación MS-DOS en un sistema operativo basado en Windows NT.



¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.



¿Quién podría aprovechar esta vulnerabilidad?

Para aprovechar esta vulnerabilidad, el intruso debería ser capaz de iniciar una sesión local en un sistema y ejecutar un programa.



¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Antes de aprovechar esta vulnerabilidad, el intruso debería iniciar sesión en el sistema. Seguidamente, podría ejecutar una aplicación especialmente diseñada que aprovechara la vulnerabilidad, y ganar el control completo del sistema afectado.



¿Qué sistemas están más expuestos a esta vulnerabilidad?

Los sistemas con más riesgo de sufrir un ataque son las estaciones de trabajo y los servidores de servicios de Terminal Server. Los servidores sufrirán riesgos solamente si algún usuario que no tenga las suficientes credenciales administrativas tiene la capacidad de iniciar sesiones en el servidor y ejecutar programas Sin embargo, las prácticas recomendadas desaconsejan permitir esto.



¿Puede aprovecharse esta vulnerabilidad a través de Internet?

No. El intruso debe ser capaz de iniciar una sesión en el sistema específico que desea atacar. Un intruso no puede cargar y ejecutar un programa de forma remota utilizando esta vulnerabilidad.



¿Cómo funciona esta actualización?

Esta actualización modifica la forma en la que Windows valida los datos al referenciar las ubicaciones de memoria asignadas a VDM.

Vulnerabilidad Negociar SSP- CAN-2004-0119

Existe una vulnerabilidad de saturación del búfer en la interfaz Negociar proveedor de software de seguridad (SPP, Security Software Provider) que podría permitir la ejecución remota de código. Esta vulnerabilidad existe por la forma en la que la interfaz Negociar SSP valida un valor utilizado durante la selección del protocolo de autenticación. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado.

Factores atenuantes de la vulnerabilidad Negociar SSP- CAN-2004-0119:

· En los casos más comunes, esta vulnerabilidad es una vulnerabilidad de denegación de servicio.

· La interfaz Negociar SSP también está habilitada de forma predeterminada en IIS. Únicamente Windows 2000 (IIS 5.0) y Windows Server 2003 Web Server Edition (IIS 6.0) instalan Internet Information Services (IIS) de forma predeterminada.

· Windows NT 4.0 no se ve afectado por esta vulnerabilidad.

>
Soluciones a la vulnerabilidad Negociar SSP- CAN-2004-0119:

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

· Soluciones para el tipo de ataque a los Servicios de información de Internet

· Deshabilitar la Autenticación Windows integrada

Los administradores pueden ayudar a reducir el riesgo de un ataque a través de Internet Information Services desactivando Integrated Windows Authentication. Encontrará información sobre cómo habilitar y deshabilitar esta opción en el siguiente sitio Web (en inglés).

Consecuencias de la solución provisional: Cualquier aplicación basada en IIS que requiera autenticación Windows NT Challenge/Response (NTLM) o Kerberos dejará de funcionar correctamente.



· Deshabilitar Negociar SSP

Los administradores pueden deshabilitar sólo la interfaz Negociar SSP siguiendo las instrucciones del artículo 215383 de Microsoft Knowledge Base, que se resume a continuación:

Para deshabilitar Negociar (y por lo tanto impedir la autenticación de Kerberos), utilice el siguiente comando. “NTLM” debe ir en mayúsculas para evitar efectos negativos:



cscript adsutil.vbs set w3svc/NTAuthenticationProviders “NTLM”



Consecuencias de la solución provisional: cualquier aplicación basada en IIS que requiera autenticación Kerberos dejará de funcionar correctamente.

Preguntas más frecuentes sobre la vulnerabilidad Negociar SSP- CAN-2004-0119:

¿Cuál es el alcance de esta vulnerabilidad?

Se trata de una vulnerabilidad de saturación del búfer. No obstante, es más probable que se trate de una vulnerabilidad de denegación de servicio. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.



¿Cuál es la causa de esta vulnerabilidad?

La existencia de un búfer sin comprobar en la interfaz Negociar SSP.



¿Qué es la interfaz Negociar compatibilidad con seguridad proporcionada (Negotiate Security Support Provided)?

Dado que Windows admite varios tipos de autenticación, el método utilizado cuando un cliente se conecta a un servidor debe negociarse. La interfaz Negociar SSP es el componente del sistema operativo que proporciona esta funcionalidad. Se basa en el mecanismo Simple and Protected GSS-API Negotiate Mechanism (SPNEGO), definido en RFC 2478. Para obtener más información acerca de los métodos de autenticación de Windows, visite el siguiente sitio Web.



¿Por qué se ven afectados los Servicios de información de Internet?

La interfaz Negociar SSP también está habilitada de forma predeterminada en los Servicios de información de Internet (IIS) para que puedan utilizar protocolos de autenticación como NTLM o Kerberos y proporcionar acceso seguro a los recursos. Para obtener más información acerca de los métodos de autenticación admitidos por IIS, visite el siguiente sitio Web (en inglés).



¿Para qué puede utilizar un intruso esta vulnerabilidad?

Aunque probablemente se produciría una denegación de servicio, un intruso que consiga aprovechar con éxito esta vulnerabilidad podría tomar el control total de un sistema afectado, incluyendo la instalación de programas; la visualización, modificación y eliminación de datos; o la creación de nuevas cuentas con todos los privilegios. Si un atacante ha provocado que un sistema afectado no responda, un administrador podrá restaurar el funcionamiento normal reiniciando el sistema afectado. Sin embargo, podría ser vulnerable a un nuevo ataque de denegación de servicio si no se aplica la actualización.



¿Quién podría aprovechar esta vulnerabilidad?

Cualquier usuario anónimo que pueda enviar un mensaje especialmente diseñado a un sistema afectado podría aprovechar esta vulnerabilidad. Dado que esta función está habilitada de forma predeterminada en todos los sistemas afectados, cualquier usuario que pueda establecer una conexión con un sistema afectado podría aprovechar la vulnerabilidad.



¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Un intruso podría aprovechar esta vulnerabilidad creando un mensaje de red especialmente diseñado y enviándolo al sistema afectado.



Un atacante también podría tener acceso al componente afectado a través de otro punto. Por ejemplo, un atacante podría iniciar la sesión en el sistema interactivamente o utilizando otro programa que pasara parámetros al componente vulnerable (de forma local o remota).



¿Qué sistemas están más expuestos a esta vulnerabilidad?

Todos los sistemas afectados pueden ser vulnerables a este problema de forma predeterminada. Además, de forma predeterminada, los sistemas que ejecutan IIS 5.0, 5.1 y 6.0 también son vulnerables a este problema a través de un puerto de escucha.



¿Cómo funciona esta actualización?

La actualización elimina la vulnerabilidad modificando la forma en la que la interfaz Negociar SSP valida la longitud de un mensaje antes de transferirlo al búfer asignado.

Vulnerabilidad SSL - CAN-2004-0117

Existe una vulnerabilidad de denegación de servicio en la biblioteca de nivel de sockets seguro (SSL) de Microsoft. La vulnerabilidad se produce por la forma en la que la biblioteca de nivel de sockets seguro (SSL) trata los mensajes SSL con formato incorrecto. Esta vulnerabilidad podría provocar que el sistema afectado dejara de aceptar conexiones SSL en Windows 2000 y Windows XP. En Windows Server 2003, la vulnerabilidad podría provocar que el sistema afectado se reiniciara automáticamente.

Factores atenuantes de la vulnerabilidad SSL - CAN-2004-0120:

· Sólo se ven afectados los sistemas en los que se ha habilitado el servicio SSL, que suelen ser únicamente los sistemas servidor. El soporte de SSL no está instalado de forma predeterminada en ninguno de los equipos afectados. Sin embargo, SSL se usa generalmente en servidores Web para dar soporte a programas de comercio electrónico, banca en línea y otros programas que requieren comunicaciones seguras.

· Si se siguen las prácticas recomendadas relativas al uso de servidores de seguridad y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger una red de los ataques que se originen fuera del ámbito de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos.

· Windows NT 4.0 no se ve afectado por esta vulnerabilidad.

Soluciones para la vulnerabilidad SSL - CAN-2004-0120:

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

· Bloquear los puertos 443 y 636 en el servidor de seguridad

El puerto 443 se utiliza para recibir tráfico SSL. El puerto 636 se utiliza para conexiones LDAP SSL (LDAPS). Al bloquearlos en el servidor de seguridad, evitará que los sistemas situados detrás de dicho servidor de seguridad de intentos de aprovechar esta vulnerabilidad. Puede que también se usen otros puertos para aprovechar esta vulnerabilidad. Sin embargo, los puertos que aquí se enumeran son los vectores de ataque más comunes. Microsoft recomienda bloquear toda la comunicación entrante no solicitada de Internet para ayudar a impedir ataques que puedan utilizar otros puertos.



Consecuencias de la solución provisional: Si se bloquean los puertos 443 o 636, los sistemas afectados no podrán aceptar conexiones externas mediante SSL o LDAPS.

Preguntas más frecuentes sobre la vulnerabilidad SSL - CAN-2004-0120:

¿Cuál es el alcance de esta vulnerabilidad?

Una vulnerabilidad de denegación de servicio en la biblioteca de nivel de sockets seguro (SSL) de Microsoft afecta al modo que tiene de tratar los mensajes SSL especialmente diseñados. Esta vulnerabilidad podría provocar que el sistema afectado dejara de aceptar conexiones SSL en Windows 2000 y Windows XP. En Windows Server 2003, la vulnerabilidad podría provocar que el sistema afectado se reiniciara automáticamente.



Es importante mencionar que la vulnerabilidad de denegación de servicio no permitiría a los intrusos ejecutar código o elevar sus privilegios, pero podría provocar que el sistema afectado dejara de aceptar solicitudes.



¿Cuál es la causa de esta vulnerabilidad?



El proceso utilizado por la biblioteca SSL para comprobar las entradas de mensajes.



¿Qué es la biblioteca de nivel de sockets seguro de Microsoft?

La biblioteca de nivel de sockets seguro de Microsoft admite una serie de protocolos de comunicación seguros. Entre ellos figuran Seguridad de la capa de transporte 1.0 (TLS 1.0), la Capa de sockets seguros 3.0 (SSL 3.0) y la antigua Capa de sockets seguros 2.0 (SSL 2.0) y el protocolo de Tecnología de comunicaciones privadas 1.0 (PCT 1.0).



Estos protocolos proporcionan una conexión cifrada entre un servidor y un sistema cliente. SSL ayuda a proteger la información privada cuando los usuarios se conectan a través de redes públicas como Internet. La compatibilidad SSL requiere un certificado SSL, que debe estar instalado en un servidor. Para obtener más información, lea el artículo 245152 de Microsoft Knowledge Base.





¿Para qué puede utilizar un intruso esta vulnerabilidad?

En Windows 2000 y Windows XP, un intruso que aprovechase esta vulnerabilidad con éxito podría hacer que el sistema afectado dejara de aceptar conexiones SSL. En Windows Server 2003, un atacante podría provocar que el sistema afectado se reiniciara automáticamente. En ese momento, el sistema afectado sería incapaz de responder a las solicitudes de autenticación. Un administrador podría reiniciar el sistema afectado para restaurar la funcionalidad normal. Sin embargo, podría ser vulnerable a un ataque de denegación de servicio si no se aplica la actualización.

Si un intruso aprovecha esta vulnerabilidad, se puede registrar un evento de error del sistema. El evento ID 5000 puede quedar registrado en el registro de eventos del sistema, con el valor SymbolicName de "SPMEVENT_PACKAGE_FAULT" y la descripción siguiente:

"The security package NAME generated an exception", donde NAME contiene el valor de "Schannel" o "Microsoft Unified Security Protocol Provider."



¿Quién podría aprovechar esta vulnerabilidad?

Cualquier usuario anónimo que pueda enviar un mensaje SSL especialmente diseñado a un sistema afectado podría intentar aprovechar esta vulnerabilidad.



¿Cómo podría aprovechar un intruso esta vulnerabilidad?
Un intruso podría aprovechar esta vulnerabilidad creando un programa que pueda comunicarse con un servidor vulnerable a través de un servicio SSL habilitado para enviar un tipo específico de mensaje TCP especialmente diseñado. La recepción de dicho mensaje provocaría un error en el sistema vulnerable, pudiendo causar una denegación de servicio.



Un atacante también podría tener acceso al componente afectado a través de otro punto. Por ejemplo, un atacante podría iniciar la sesión en el sistema interactivamente o utilizando otro programa que pasara parámetros al componente vulnerable (de forma local o remota).



¿Qué sistemas están más expuestos a esta vulnerabilidad?

Todos los sistemas con SSL habilitado son vulnerables. Aunque SSL se asocia comúnmente a ISS a través de HTTPS y el puerto 443, cualquier servicio que utilice SSL en una plataforma afectada podría ser vulnerable. Entre ellas figuran, aunque hay otras, Servicios de Internet Information Server 4.0, Servicios de Internet Information Server 5.0, Servicios de Internet Information Server 5.1, Exchange Server 5.5, Exchange Server 2000, Exchange Server 2003, Analysis Services 2000 (suministrado con SQL Server 2000) y aplicaciones de otros fabricantes que utilicen el protocolo PCT.



Los controladores de dominio de Windows 2000 que están instalados en un dominio de Active Directory, que también tenga instalada una Entidad emisora raíz de la empresa, se ven afectados por esta vulnerabilidad porque automáticamente reciben solicitudes de conexiones SSL seguras.



¿Cómo funciona esta actualización?

La actualización elimina la vulnerabilidad modificando el tratamiento de mensajes SSL especialmente diseñados.

Vulnerabilidad ASN.1 “doble liberación” - CAN-2004-0123

Existe una vulnerabilidad de ejecución remota de código en la biblioteca ASN.1 de Microsoft. La vulnerabilidad está provocada por una posible condición de "doble liberación" en la biblioteca ASN.1 de Microsoft que podría causar daños en la memoria de un sistema afectado. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. Sin embargo, en el caso más probable, este problema es una vulnerabilidad de denegación de servicio.



Factores atenuantes de la vulnerabilidad ASN.1 “doble liberación” - CAN-2004-0123

· Debido al diseño único de las estructuras de memoria de cada sistema afectado, aprovechar esta vulnerabilidad a escala masiva es potencialmente difícil.

Soluciones para la vulnerabilidad ASN.1 “doble liberación” - CAN-2004-0123

Ninguna.

Preguntas más frecuentes sobre la vulnerabilidad ASN.1 “Doble liberación” - CAN-2004-0123:

¿Cuál es el alcance de esta vulnerabilidad?
Aunque potencialmente puede tratarse de una vulnerabilidad de ejecución remota de código, es más probable que sea una vulnerabilidad de denegación de servicio. Sin embargo, un intruso que consiga aprovechar con éxito esta vulnerabilidad para ejecutar código de forma remota podría tomar el control total de un sistema afectado, incluyendo la instalación de programas; la visualización, modificación y eliminación de datos; o la creación de nuevas cuentas con todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?
Existe una condición de "doble liberación" potencial que podría causar daños de memoria en la biblioteca ASN.1 de Microsoft.

¿Qué es una condición de “doble liberación”?

Al procesar un mensaje especialmente diseñado, un intruso podría provocar que un sistema afectado intentara liberar memoria "libre" que podría haberse reservado para utilizar varias veces. Liberar memoria que ha sido previamente liberada puede provocar daños en la misma. Un intruso podría escribir código arbitrario en la memoria para que se ejecutara cuando se produjeran los daños. Este código podría ejecutarse en el nivel de privilegio del sistema.

En la mayoría de los casos, esta vulnerabilidad provocaría una denegación de servicio. Sin embargo, es posible que se produjera ejecución remota de código de forma limitada. Debido al diseño único de la pila de cada sistema afectado, aprovechar esta vulnerabilidad a escala masiva es potencialmente difícil.

¿Qué es ASN.1?
La Notación de sintaxis abstracta 1 (ASN.1, Abstract Syntax Notation 1) es un lenguaje utilizado para definir estándares. Lo utilizan muchas aplicaciones y dispositivos de la industria de la tecnología para permitir el intercambio de datos entre varias plataformas. ASN.1 no tiene relación directa con ningún estándar, método de codificación, lenguaje de programación o plataforma de hardware específicos. Para obtener más información acerca de ASN.1, consulte el artículo 252648 de Microsoft Knowledge Base.

¿Para qué puede utilizar un intruso esta vulnerabilidad?
Un intruso que consiga aprovechar con éxito esta vulnerabilidad para ejecutar código de forma remota podría tomar el control total de un sistema afectado, incluyendo la instalación de programas; la visualización, modificación y eliminación de datos; o la creación de nuevas cuentas con todos los privilegios.

En el caso más probable, un intruso podría provocar una condición de denegación de servicio . Un administrador podría reiniciar el sistema afectado para restaurar la funcionalidad normal.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?
Dado que ASN.1 es un estándar para muchas aplicaciones y dispositivos, existen muchas formas potenciales de ataque. Para aprovechar esta vulnerabilidad con éxito, un intruso podría forzar el sistema para que descodificara datos ASN.1 especialmente diseñados. Por ejemplo, mediante los protocolos de autenticación basado en ASN.1, un intruso podría crear una solicitud de autenticación especialmente diseñada para permitir la exposición a esta vulnerabilidad.

¿Qué sistemas están más expuestos a esta vulnerabilidad?
Los sistemas de servidor corren un mayor riesgo que los de cliente porque es más probable que ejecuten un proceso de servidor que descodifique datos ASN.1.

¿Están afectados Windows 98, Windows 98 Second Edition o Windows Millennium Edition de forma crítica por esta vulnerabilidad?

No. Aunque Windows Millennium Edition contenga el componente afectado, la vulnerabilidad no es muy grave. Para obtener más información acerca de la gravedad, visite el siguiente sitio Web.

¿Cómo funciona esta actualización?
La actualización elimina la vulnerabilidad modificando el tratamiento de mensajes SSL especialmente diseñados por la biblioteca ASN.1.

¿Qué relación tiene esta vulnerabilidad con la vulnerabilidad corregida por MS04-007?

Ambas vulnrabilidades se hallan en el componenete ASN.1. Sin embargo, esta actualización corrige una vulnerabilidad descubierta recientemente que no se tuvo en cuenta para MS04-007. MS04-007 proporciona una completa protección contra las vulnerabilidades tratadas en ese boletín, pero esta actualización incluye todas las actualizaciones proporcionadas en MS04-007 y, de hecho, las sustituye. Si instala esta actualización, no necesitará instalar MS04-007.

Información sobre la actualización de seguridad

Plataformas de instalación y requisitos previos:

Para obtener información sobre la actualización de seguridad específica para su plataforma, haga clic en el vínculo apropiado:

Windows Server 2003 (todas las versiones)

Requisitos previos
Esta actualización de seguridad requiere una versión comercial de Windows Server 2003.

Inclusión en futuros Service Packs:
Las actualizaciones para estos problemas se incluirán en Windows Server 2003 Service Pack 1.

Información sobre la instalación
Esta actualización de seguridad admite los siguientes parámetros de instalación:

/help Muestra las opciones de la línea de comandos

Modos de instalación

/quiet Modo silencioso (sin interacción del usuario ni mensajes)

/passive Modo desatendido (sólo barra de progreso)

/uninstall Desinstala el paquete

Opciones de reinicio

/norestart No reinicia al completarse la instalación.

/forcerestart Reinicia después de la instalación

Opciones especiales

/l Enumera los paquetes de actualización y las revisiones de Windows instalados

/o Sobrescribe los archivos OEM sin preguntar

/n No hace una copia de seguridad de los archivos necesarios para la desinstalación

/f Obliga a otros programas a cerrarse cuando se apaga el equipo



Nota Estos parámetros pueden combinarse en el mismo comando. Para mantener la compatibilidad con productos anteriores, esta actualización de seguridad también admite los parámetros de instalación que utilizan las versiones anteriores de la utilidad de instalación. Para obtener más información acerca de los modificadores de instalación admitidos, lea el artículo 262841 de Microsoft Knowledge Base.

Información sobre la implementación
Para instalar la actualización de seguridad sin intervención del usuario, escriba la línea de comandos siguiente en el símbolo del sistema de Windows Server 2003:

Windowsserver2003-kb835732-x86-enu /passive /quiet

Para instalar la actualización de seguridad sin necesidad de reiniciar el equipo, escriba la siguiente línea de comandos en el símbolo del sistema de Windows Server 2003:

Windowsserver2003-kb835732-x86-enu /norestart

Si desea obtener información acerca de cómo implementar esta actualización de seguridad con Software Update Services, visite el sitio Web de Software Update Services, en inglés.

Requisito de reinicio
Debe reiniciar el sistema después de aplicar esta actualización de seguridad.
Información sobre la eliminación
Para eliminar esta actualización, utilice la herramienta Agregar o quitar programas del Panel de control.

Los administradores de sistemas también pueden utilizar la utilidad Spuninst.exe para desinstalar esta actualización de seguridad. La utilidad Spuninst.exe se encuentra en la carpeta %Windir%\$NTUninstallKB835732$\Spuninst. Esta utilidad admite los siguientes parámetros de instalación:

* /?: Mostrar la lista de parámetros de instalación

* /u Usar el modo desatendido

* /f Obligar a otros programas a cerrarse cuando se apaga el equipo

* /z No reiniciar al completarse la instalación

* /q Usar el modo silencioso (sin interacción del usuario)

Información sobre archivos
La versión inglesa de esta actualización tiene los atributos de archivo (o posteriores) indicados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en el horario universal coordinado (UTC). Cuando se consulta la información de archivo, ésta se convierte al horario local. Para averiguar la diferencia entre el horario universal coordinado y el local, utilice la ficha Zona horaria en la herramienta Fecha y hora del Panel de control.

Windows Server 2003 Enterprise Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Web Edition y Windows Server 2003 Datacenter Edition:

Fecha Hora Versión Tamaño Nombre archivo Plataforma Carpeta
-----------------------------------------------------------------------------
16-Mar-2004 02:00 5.2.3790.132 364.544 Callcont.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.121 61.440 Eventlog.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 256.000 H323.tsp X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 601.600 H323msp.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.125 783.360 Helpctr.exe X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.142 448.512 Ipnathlp.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.134 799.232 Lsasrv.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.139 60.928 Msasn1.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 253.952 Mst120.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 73.728 Nmcom.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.121 565.760 Rtcdll.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 153.088 Schannel.dll X86 RTMGDR
16-Mar-2004 02:09 5.2.3790.132 364.544 Callcont.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.121 64.000 Eventlog.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 256.000 H323.tsp X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 601.600 H323msp.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.125 783.360 Helpctr.exe X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.142 448.512 Ipnathlp.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.134 801.280 Lsasrv.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.139 60.928 Msasn1.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 253.952 Mst120.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 73.728 Nmcom.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.121 565.760 Rtcdll.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 153.088 Schannel.dll X86 RTMQFE



Windows Server 2003 64-Bit Enterprise Edition y Windows Server 2003 64-Bit Datacenter Edition:

Fecha Hora Versión Tamaño Nombre archivo Plataforma Carpeta
-----------------------------------------------------------------------------
16-Mar-2004 01:54 5.2.3790.121 160.768 Eventlog.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 816.128 H323.tsp IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 1.874.432 H323msp.dll IA64 RTMGDR
05-Feb-2004 00:43 5.2.3790.125 2.063.360 Helpctr.exe IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.142 1.421.312 Ipnathlp.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.134 2.034.176 Lsasrv.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.139 160.256 Msasn1.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 479.744 Schannel.dll IA64 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 256.000 Wh323.tsp X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 601.600 Wh323msp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.142 448.512 Wipnathlp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.139 60.928 Wmsasn1.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 153.088 Wschannel.dll X86 RTMGDR\WOW
16-Mar-2004 02:12 5.2.3790.121 167.424 Eventlog.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 816.128 H323.tsp IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 1.874.432 H323msp.dll IA64 RTMQFE
05-Feb-2004 00:42 5.2.3790.125 2.063.360 Helpctr.exe IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.142 1.421.312 Ipnathlp.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.134 2.038.272 Lsasrv.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.139 160.256 Msasn1.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 479.744 Schannel.dll IA64 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 256.000 Wh323.tsp X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 601.600 Wh323msp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.142 448.512 Wipnathlp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.139 60.928 Wmsasn1.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 153.088 Wschannel.dll X86 RTMQFE\WOW


Nota Al instalar esta actualización de seguridad en Windows Server 2003 o en Windows XP 64-Bit Edition Version 2003, el programa de instalación comprueba si alguno de los archivos que se van a actualizar en el equipo ha sido actualizado anteriormente mediante una revisión de Microsoft. Si ha instalado anteriormente una revisión para actualizar alguno de estos archivos, el programa de instalación copia los archivos RTMQFE en el sistema. De lo contrario, el programa de instalación copia los archivos RTMGDR en el sistema. Para obtener más información, lea el artículo 824994 de Microsoft Knowledge Base.


Comprobación de la instalación de la actualización
Para comprobar que la actualización de seguridad está instalada en un equipo afectado, puede tratar de utilizar la herramienta Baseline Security Analyzer (MBSA) de Microsoft, lo que permite a los administradores examinar sistemas remotos y locales para detectar las actualizaciones de seguridad que faltan y las configuraciones de seguridad incorrectas más comunes. Para obtener más información acerca de MBSA, visite el sitio Web Microsoft Baseline Security Analyzer.



También podría comprobar los archivos que ha instalado esta actualización de seguridad revisando la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB835732\Filelist

Nota Esta clave del Registro puede no crearse correctamente si el administrador o un OEM integran o incorporan la actualización de seguridad 835732 en los archivos fuente de instalación de Windows.

Windows XP (todas las versiones)

Note Esta actualización de seguridad para Windows XP 64-Bit Edition Version 2003 es la misma que la actualización de seguridad de Windows Server 2003 64-Bit Edition.
Requisitos previos
Esta actualización de seguridad requiere una versión comercial de Windows XP o Windows XP Service Pack 1 (SP1). Para obtener más información, consulte el artículo 322389 de Microsoft Knowledge Base.



Inclusión en futuros Service Packs:
Las actualizaciones para estos problema se incluirán en Windows XP Service Pack 2.

Información sobre la instalación
Esta actualización de seguridad admite los siguientes parámetros de instalación:

/help Muestra las opciones de la línea de comandos

Modos de instalación

/quiet Modo silencioso (sin interacción del usuario ni mensajes)

/passive Modo desatendido (sólo barra de progreso)

/uninstall Desinstala el paquete

Opciones de reinicio

/norestart No reinicia al completarse la instalación.

/forcerestart Reinicia después de la instalación

Opciones especiales

/l Enumera los paquetes de actualización y las revisiones de Windows instalados

/o Sobrescribe los archivos OEM sin preguntar

/n No hace una copia de seguridad de los archivos necesarios para la desinstalación

/f Obliga a otros programas a cerrarse cuando se apaga el equipo



Nota Estos parámetros pueden combinarse en el mismo comando. Para mantener la compatibilidad con productos anteriores, esta actualización de seguridad también admite los parámetros de instalación que utilizan las versiones anteriores de la utilidad de instalación. Para obtener más información acerca de los modificadores de instalación admitidos, lea el artículo 262841 de Microsoft Knowledge Base.

Información sobre la implementación
Para instalar la actualización de seguridad sin intervención del usuario, escriba la línea de comandos siguiente en el símbolo del sistema de Windows XP:

Windowsxp-kb835732-x86-enu /passive /quiet

Para instalar la actualización de seguridad sin necesidad de reiniciar el equipo, escriba la siguiente línea de comandos en el símbolo del sistema de Windows XP:

Windowsxp-kb835732-x86-enu /norestart

Para obtener más información acerca de cómo implementar esta actualización de seguridad con Software Update Services, visite el sitio Web de Software Update Services.

Requisito de reinicio
Debe reiniciar el sistema después de aplicar esta actualización de seguridad.
Información sobre la eliminación
Para eliminar esta actualización de seguridad, utilice la herramienta Agregar o quitar programas del Panel de control.

Los administradores de sistemas también pueden utilizar la utilidad Spuninst.exe para desinstalar esta actualización de seguridad. La utilidad Spuninst.exe se encuentra en la carpeta %Windir%\$NTUninstallKB835732$\Spuninst. Esta utilidad admite los siguientes parámetros de instalación:

* /?: Mostrar la lista de parámetros de instalación

* /u Usar el modo desatendido

* /f Obligar a otros programas a cerrarse cuando se apaga el equipo

* /z: No reiniciar al completarse la instalación

* /q Usar el modo silencioso (sin interacción del usuario)

*

Información sobre archivos
La versión inglesa de esta actualización tiene los atributos de archivo (o posteriores) indicados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en el horario universal coordinado (UTC). Cuando se consulta la información de archivo, ésta se convierte al horario local. Para averiguar la diferencia entre el horario universal coordinado y el local, utilice la ficha Zona horaria en la herramienta Fecha y hora del Panel de control.

Windows XP Home Edition, Windows XP Professional, Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition y Windows XP Media Center Edition:

Fecha Hora Versión Tamaño Nombre archivo Carpeta
-----------------------------------------------------------------------
27-Mar-2004 01:01 5.1.2600.105 48.640 Browser.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.133 364.544 Callcont.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.136 40.960 Evtgprov.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.132 241.664 Gdi32.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 253.440 H323.tsp (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 593.408 H323msp.dll (pre-sp1)
05-Feb-2004 22:14 5.1.2600.128 727,040 Helpctr.exe (pre-sp1)
27-Mar-2004 01:01 5.1.2600.137 454.656 Ipnathlp.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 648.192 Lsasrv.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.132 36.864 Mf3216.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.137 51.712 Msasn1.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.128 969.216 Msgina.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.133 253.952 Mst120.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.122 301.568 Netapi32.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.133 73.728 Nmcom.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 550.400 Rtcdll.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.136 136.704 Schannel.dll (pre-sp1)
26-Mar-2004 19:43 5.1.2600.1348 364.544 Callcont.dll (con sp1)
26-Mar-2004 19:43 5.1.2600.1363 40.960 Evtgprov.dll (con sp1)
26-Mar-2004 19:43 5.1.2600.1346 257.536 Gdi32.dll (con sp1)
26-Mar-2004 19:43 5.1.2600.1348 253.440 H323.tsp (con sp1)
26-Mar-2004 19:43 5.1.2600.1348 593.408 H323msp.dll (con sp1)
26-Mar-2004 19:30 5.1.2600.1340 741.376 Helpctr.exe (con sp1)
26-Mar-2004 19:43 5.1.2600.1364 439.808 Ipnathlp.dll (con sp1)
26-Mar-2004 19:43 5.1.2600.1361 667.648 Lsasrv.dll (con sp1)
26-Mar-2004 19:43 5.1.2600.1331 36.864 Mf3216.dll (con sp1)
26-Mar-2004 19:43 5.1.2600.1362 51.712 Msasn1.dll (con sp1)
26-Mar-2004 19:43 5.1.2600.1343 971.264 Msgina.dll (con sp1)
26-Mar-2004 19:43 5.1.2600.1348 253.952 Mst120.dll (con sp1)
26-Mar-2004 19:43 5.1.2600.1343 306.176 Netapi32.dll (con sp1)
26-Mar-2004 19:43 5.1.2600.1348 73.728 Nmcom.dll (con sp1)
26-Mar-2004 19:43 5.1.2600.1351 548.352 Rtcdll.dll (con sp1)
26-Mar-2004 19:43 5.1.2600.1347 136.704 Schannel.dll (con sp1)
10-Mar-2004 17:59 5.1.2600.1363 593.408 Xpsp2res.dll (con sp1)


Windows XP 64-Bit Edition Service Pack 1:

Fecha Hora Versión Tamaño Nombre archivo Plataforma
--------------------------------------------------------------------------
26-Mar-2004 19:40 5.1.2600.1363 134.656 Evtgprov.dll IA64
26-Mar-2004 19:40 5.1.2600.1346 884.736 Gdi32.dll IA64
26-Mar-2004 19:40 5.1.2600.1348 1.035.264 H323.tsp IA64
26-Mar-2004 19:40 5.1.2600.1348 2.230.272 H323msp.dll IA64
05-Feb-2004 21:40 5.1.2600.1340 2.426.368 Helpctr.exe IA64
26-Mar-2004 19:40 5.1.2600.1364 1.782.784 Ipnathlp.dll IA64
26-Mar-2004 19:40 5.1.2600.1361 2.069.504 Lsasrv.dll IA64
26-Mar-2004 19:40 5.1.2600.1331 128.512 Mf3216.dll IA64
26-Mar-2004 19:40 5.1.2600.1362 179.200 Msasn1.dll IA64
26-Mar-2004 19:40 5.1.2600.1343 1.272.320 Msgina.dll IA64
26-Mar-2004 19:40 5.1.2600.1343 903.168 Netapi32.dll IA64
26-Mar-2004 19:40 5.1.2600.1347 508.416 Schannel.dll IA64
26-Mar-2004 19:43 5.1.2600.1346 237.568 Wgdi32.dll X86
26-Mar-2004 19:43 5.1.2600.1348 253.440 Wh323.tsp X86
26-Mar-2004 19:43 5.1.2600.1348 593.408 Wh323msp.dll X86
26-Mar-2004 19:43 5.1.2600.1364 439.808 Wipnathlp.dll X86
26-Mar-2004 19:43 5.1.2600.1331 36.864 Wmf3216.dll X86
26-Mar-2004 19:43 5.1.2600.1362 51.712 Wmsasn1.dll X86
26-Mar-2004 19:43 5.1.2600.1343 971.264 Wmsgina.dll X86
26-Mar-2004 19:43 5.1.2600.1343 306.176 Wnetapi32.dll X86
26-Mar-2004 19:43 5.1.2600.1347 136.704 Wschannel.dll X86
10-Mar-2004 17:59 5.1.2600.1363 593.408 Wxpsp2res.dll X86
10-Mar-2004 17:59 5.1.2600.1363 592.896 Xpsp2res.dll IA64


Windows XP 64-Bit Edition Versión 2003:

Fecha Hora Versión Tamaño Nombre archivo Plataforma Carpeta
-----------------------------------------------------------------------------
16-Mar-2004 01:54 5.2.3790.121 160.768 Eventlog.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 816.128 H323.tsp IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 1.874.432 H323msp.dll IA64 RTMGDR
05-Feb-2004 00:43 5.2.3790.125 2.063.360 Helpctr.exe IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.142 1.421.312 Ipnathlp.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.134 2.034.176 Lsasrv.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.139 160.256 Msasn1.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 479.744 Schannel.dll IA64 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 256.000 Wh323.tsp X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 601.600 Wh323msp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.142 448.512 Wipnathlp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.139 60.928 Wmsasn1.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 153.088 Wschannel.dll X86 RTMGDR\WOW
16-Mar-2004 02:12 5.2.3790.121 167.424 Eventlog.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 816.128 H323.tsp IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 1.874.432 H323msp.dll IA64 RTMQFE
05-Feb-2004 00:42 5.2.3790.125 2.063.360 Helpctr.exe IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.142 1.421.312 Ipnathlp.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.134 2.038.272 Lsasrv.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.139 160.256 Msasn1.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 479.744 Schannel.dll IA64 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 256.000 Wh323.tsp X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 601.600 Wh323msp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.142 448.512 Wipnathlp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.139 60.928 Wmsasn1.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 153.088 Wschannel.dll X86 RTMQFE\WOW


Notas:

Las versiones para Windows XP y Windows XP 64-Bit Edition Versión 2003 de esta actualización de seguridad están incluidas en paquetes de modo dual, que contienen archivos para la versión original de Windows XP y Windows XP Service Pack 1 (SP1). Para obtener más información acerca de los paquetes de modo dual, lea el artículo 328848 de Microsoft Knowledge Base.



Al instalar la actualización de seguridad para Windows XP 64-Bit Edition Versión 2003, el programa de instalación comprueba si alguno de los archivos que se van a actualizar en el sistema ha sido actualizado anteriormente mediante una revisión de Microsoft. Si ha instalado anteriormente una revisión para actualizar alguno de estos archivos, el programa de instalación copia los archivos RTMQFE en el sistema. De lo contrario, el programa de instalación copia los archivos RTMGDR en el sistema. Para obtener más información, lea el artículo 824994 de Microsoft Knowledge Base.


Comprobación de la instalación de la actualización
Para comprobar que la actualización de seguridad está instalada en un equipo afectado, puede tratar de utilizar la herramienta Baseline Security Analyzer (MBSA) de Microsoft, lo que permite a los administradores examinar sistemas remotos y locales para detectar las actualizaciones de seguridad que faltan y las configuraciones de seguridad incorrectas más comunes. Para obtener más información acerca de MBSA, visite el sitio Web Microsoft Baseline Security Analyzer.



También podría comprobar los archivos que ha instalado esta actualización de seguridad revisando las siguientes claves del Registro:

Para Windows XP Home Edition, Windows XP Professional, Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP 64-Bit Edition Service Pack 1, Windows XP Tablet PC Edition y Windows XP Media Center Edition:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB835732\Filelist

Para Windows XP 64-Bit Edition Version 2003:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB835732\Filelist

Nota Esta clave del Registro puede no crearse correctamente si el administrador o un OEM integran o incorporan la actualización de seguridad 835732 en los archivos fuente de instalación de Windows.

Windows 2000 (todas las versiones)

Requisitos previos
Para Windows 2000, esta actualización de seguridad requiere el Service Pack 2 (SP2), Service Pack 3 (SP3) o Service Pack 4 (SP4).


Los programas de software listados arriba han sido probados para determinar si están afectados. Otras versiones puede que ya no sean compatibles con las actualizaciones de seguridad o que no se vean afectadas. Para determinar el ciclo de vida de soporte técnico de su producto y versión, visite el sitio Web Ciclo de vida de soporte técnico de Microsoft.

Para obtener más información acerca de cómo obtener el último Service Pack, lea el artículo 260910 de Microsoft Knowledge Base.



Inclusión en futuros Service Packs:
Las actualizaciones para estos problema se incluirán en Windows 2000 Service Pack 5.

Información sobre la instalación
Esta actualización de seguridad admite los siguientes parámetros de instalación:

/help Muestra las opciones de la línea de comandos

Modos de instalación

/quiet Modo silencioso (sin interacción del usuario ni mensajes)

/passive Modo desatendido (sólo barra de progreso)

/uninstall Desinstala el paquete

Opciones de reinicio

/norestart No reinicia al completarse la instalación.

/forcerestart Reinicia después de la instalación

Opciones especiales

/l Enumera los paquetes de actualización y las revisiones de Windows instalados

/o Sobrescribe los archivos OEM sin preguntar

/n No hace una copia de seguridad de los archivos necesarios para la desinstalación

/f Obliga a otros programas a cerrarse cuando se apaga el equipo



Nota Estos parámetros pueden combinarse en el mismo comando. Para mantener la compatibilidad con productos anteriores, esta actualización de seguridad también admite los parámetros de instalación que utilizan las versiones anteriores de la utilidad de instalación. Para obtener más información acerca de los modificadores de instalación admitidos, lea el artículo 262841 de Microsoft Knowledge Base.

Información sobre la implementación
Si desea instalar la actualización de seguridad sin intervención del usuario, utilice el comando siguiente en el símbolo del sistema para Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 y Windows 2000 Service Pack 4:

Windows2000-kb835732-x86-enu /passive /quiet

Si desea instalar la actualización de seguridad sin obligar al sistema a reiniciarse, utilice el comando siguiente en el símbolo del sistema para Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 y Windows 2000 Service Pack 4:

Windows2000-kb835732-x86-enu /norestart

Para obtener más información acerca de cómo implementar esta actualización de seguridad con Software Update Services, visite el sitio Web de Software Update Services.

Requisito de reinicio
Debe reiniciar el sistema después de aplicar esta actualización de seguridad.
Información sobre la eliminación
Para quitar esta actualización de seguridad, utilice la herramienta Agregar o quitar programas del Panel de control.

Los administradores de sistemas también pueden utilizar la utilidad Spuninst.exe para desinstalar esta actualización de seguridad. La utilidad Spuninst.exe se encuentra en la carpeta %Windir%\$NTUninstallKB835732$\Spuninst. Esta utilidad admite los siguientes parámetros de instalación:

* /?: Mostrar la lista de parámetros de instalación

* /u Usar el modo desatendido

* /f Obligar a otros programas a cerrarse cuando se apaga el equipo

* /z No reiniciar al completarse la instalación

* /q Usar el modo silencioso (sin interacción del usuario)

*

Información sobre archivos
La versión inglesa de esta actualización tiene los atributos de archivo (o posteriores) indicados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en el horario universal coordinado (UTC). Cuando se consulta la información de archivo, ésta se convierte al horario local. Para averiguar la diferencia entre el horario universal coordinado y el local, utilice la ficha Zona horaria en la herramienta Fecha y hora del Panel de control.

Nota La información de fecha y hora podría cambiar durante la instalación. La información de versión, tamaño y nombre de archivo debe utilizarse para determinar que los archivos son correctos.

Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 y Windows 2000 Service Pack 4:

Fecha Hora Versión Tamaño Nombre archivo Carpeta
-----------------------------------------------------------------------
24-Mar-2004 02:17 5.0.2195.6876 388.368 Advapi32.dll
05-Ago-2003 02:17:00 5.00.2195.6738 42.256 Basesrv.dll
24-Mar-2004 02:17 5.0.2195.6866 69.904 Browser.dll
24-Mar-2004 02:17 5.0.2195.6901 394.512 Callcont.dll
21-Sep-2003 00:45 5.0.2195.6824 236.304 Cmd.exe
24-Mar-2004 02:17 5.131.2195.6824 543.504 Crypt32.dll
24-Mar-2004 02:17 5.131.2195.6824 61.200 Cryptnet.dll
24-Mar-2004 02:17 5.0.2195.6868 76.048 Cryptsvc.dll
24-Mar-2004 02:17 5.0.2195.6824 134.928 Dnsapi.dll
24-Mar-2004 02:17 5.0.2195.6876 92.432 Dnsrslvr.dll
24-Mar-2004 02:17 5.0.2195.6883 47.888 Eventlog.dll
24-Mar-2004 02:17 5.0.2195.6898 242.448 Gdi32.dll
24-Mar-2004 02:17 5.0.2195.6901 255.248 H323.tsp
24-Mar-2004 00:46 502 Hfsecper.inf
17-Mar-2004 21:50 502 Hfsecupd.inf
24-Mar-2004 02:17 5.0.2195.6902 442.640 Ipnathlp.dll
24-Mar-2004 02:17 5.0.2195.6890 143.632 Kdcsvc.dll
11-Mar-2004 02:37 5.0.2195.6903 210.192 Kerberos.dll
24-Mar-2004 02:17 5.0.2195.6897 742.160 Kernel32.dll
21-Sep-2003 00:32 5.0.2195.6824 71.888 Ksecdd.sys
11-Mar-2004 02:37 5.0.2195.6902 520.976 Lsasrv.dll
25-Feb-2004 23:59 5.0.2195.6902 33.552 Lsass.exe
24-Mar-2004 02:17 5.0.2195.6898 37.136 Mf3216.dll
10-Feb-2004 19:47 5.0.2195.6897 30.160 Mountmgr.sys
24-Mar-2004 02:17 5.0.2195.6824 54.544 Mpr.dll
24-Mar-2004 02:17 5.0.2195.6905 53.520 Msasn1.dll
24-Mar-2004 02:17 5.0.2195.6895 335.120 Msgina.dll
24-Mar-2004 02:17 5.0.2195.6901 249.616 Mst120.dll
11-Mar-2004 02:37 5.0.2195.6897 123.152 Msv1_0.dll
24-Mar-2004 02:17 5.0.2195.6897 312.592 Netapi32.dll
24-Mar-2004 02:17 5.0.2195.6891 371.472 Netlogon.dll
24-Mar-2004 02:17 5.0.2195.6901 62.224 Nmcom.dll
24-Mar-2004 02:17 5.0.2195.6899 497.936 Ntdll.dll
24-Mar-2004 02:17 5.0.2195.6896 1.028.880 Ntdsa.dll
25-Feb-2004 23:55 5.0.2195.6902 1.699.904 Ntkrnlmp.exe
25-Feb-2004 23:55 5.0.2195.6902 1.699.264 Ntkrnlpa.exe
25-Feb-2004 23:55 5.0.2195.6902 1.720.064 Ntkrpamp.exe
11-Mar-2004 02:37 5.0.2195.6902 1.726.032 Ntoskrnl.exe
24-Mar-2004 02:17 5.0.2195.6824 115.984 Psbase.dll
24-Mar-2004 02:17 5.0.2195.6892 90.264 Rdpwd.sys
24-Mar-2004 02:17 5.0.2195.6897 49.936 Samlib.dll
24-Mar-2004 02:17 5.0.2195.6897 388.368 Samsrv.dll
24-Mar-2004 02:17 5.0.2195.6893 111.376 Scecli.dll
24-Mar-2004 02:17 5.0.2195.6903 253.200 Scesrv.dll
11-Mar-2004 02:37 5.1.2195.6899 143.120 Schannel.dll
19-Jun-2003 20:05 5.0.2195.6707 17.168 Seclogon.dll
24-Mar-2004 02:17 5.0.2195.6894 971.536 Sfcfiles.dll
05-Feb-2004 20:18 5.0.2195.6896 5.869.056 Sp3res.dll
24-Mar-2004 02:17 1.0.0.4 27.920 Umandlg.dll
24-Mar-2004 02:17 5.0.2195.6897 403.216 User32.dll
05-Aug-2003 22:14 5.0.2195.6794 385.808 Userenv.dll
24-Mar-2004 02:17 5.0.2195.6824 50.960 W32time.dll
21-Sep-2003 00:32 5.0.2195.6824 57.104 W32tm.exe
11-Mar-2004 02:37 5.0.2195.6897 1.720.368 Win32k.sys
12-Dec-2003 21:38 5.1.2600.1327 311.296 Winhttp.dll
11-Mar-2004 02:37 5.0.2195.6898 181.520 Winlogon.exe
25-Sep-2003 18:08 5.0.2195.6826 243.984 Winsrv.dll
24-Mar-2004 02:17 5.131.2195.6824 167.184 Wintrust.dll
24-Mar-2004 02:17 5.0.2195.6897 742.160 Kernel32.dll Uniproc
24-Mar-2004 02:17 5.0.2195.6899 497.936 Ntdll.dll Uniproc
11-Mar-2004 02:37 5.0.2195.6897 1.720.368 Win32k.sys Uniproc
25-Sep-2003 18:08 5.0.2195.6826 243.984 Winsrv.dll Uniproc

Comprobación de la instalación de la actualización
Para comprobar que la actualización de seguridad está instalada en un equipo afectado, puede tratar de utilizar la herramienta Baseline Security Analyzer (MBSA) de Microsoft, lo que permite a los administradores examinar sistemas remotos y locales para detectar las actualizaciones de seguridad que faltan y las configuraciones de seguridad incorrectas más comunes. Para obtener más información acerca de MBSA, visite el sitio Web Microsoft Baseline Security Analyzer.



También podría comprobar los archivos que ha instalado esta actualización de seguridad revisando la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB835732\Filelist

Nota Esta clave del Registro puede no crearse correctamente si el administrador o un OEM integran o incorporan la actualización de seguridad 835732 en los archivos fuente de instalación de Windows.

Windows NT 4.0 (todas las versiones)

Requisitos previos
Esta revisión de seguridad requiere Windows NT Workstation 4.0 Service Pack 6a (SP6a), Windows NT Server 4.0 Service Pack 6a (SP6a) o Windows NT Server 4.0 Terminal Server Edition Service Pack 6 (SP6).

Los programas de software listados arriba han sido probados para determinar si están afectados. Otras versiones puede que ya no sean compatibles con las actualizaciones de seguridad o que no se vean afectadas. Para determinar el ciclo de vida de soporte técnico de su producto y versión, visite el sitio Web Ciclo de vida de soporte técnico de Microsoft.

Para obtener más información acerca de cómo obtener el último Service Pack, lea el artículo 152734 de Microsoft Knowledge Base.

Información sobre la instalación
Esta actualización de seguridad admite los siguientes parámetros de instalación:

* /y: Efectuar la eliminación (sólo con /m o /q)

* /f Obligar a los programas a salir durante el proceso de cierre

/n: No crear una carpeta de desinstalación

* /z No reiniciar el equipo cuando termine la actualización

* /q Utilizar el modo silencioso o desatendido sin intervención del usuario (este parámetro es un superconjunto de /m)

* /m: Utilizar el modo desatendido con un interfaz de usuario

* /l: Listar las revisiones instaladas

* /x: Extraer los archivos sin ejecutar el programa de instalación

*

Nota Estos parámetros pueden combinarse en el mismo comando. Para obtener más información acerca de los modificadores de instalación admitidos, lea el artículo 262841 de Microsoft Knowledge Base.
Información sobre la implementación
Para instalar la actualización de seguridad sin intervención del usuario, escriba la línea de comandos siguiente en el símbolo del sistema de Windows NT Server 4.0:

Windowsnt4server-kb835732-x86-enu /q

Para Windows NT Server 4.0 Terminal Server Edition:

Windowsnt4terminalserver-kb835732-x86-enu /q

Para Windows NT Workstation 4.0:

Windowsnt4workstation-kb835732-x86-enu /q

Para instalar la actualización de seguridad sin necesidad de reiniciar el equipo, escriba la siguiente línea de comandos en el símbolo del sistema de Windows NT Server 4.0:

Windowsnt4server-kb835732-x86-enu /z

Para Windows NT Server 4.0 Terminal Server Edition:

Windowsnt4terminalserver-kb835732-x86-enu /z

Para Windows NT Workstation 4.0:

Windowsnt4workstation-kb835732-x86-enu /z

Para obtener más información acerca de cómo implementar esta actualización de seguridad con Software Update Services, visite el sitio Web de Software Update Services.

Requisito de reinicio
Debe reiniciar el sistema después de aplicar esta actualización de seguridad.
Información sobre la eliminación
Para quitar esta actualización de seguridad, utilice la herramienta Agregar o quitar programas del Panel de control.

Los administradores de sistemas pueden utilizar la utilidad Hotfix.exe para desinstalar esta actualización de seguridad. La utilidad Hotfix.exe se encuentra en la carpeta %Windir%\$NTUninstallKB835732$. La utilidad Hotfix.exe admite los siguientes parámetros de instalación:

* /y: Efectuar la eliminación (sólo con los parámetros /m o /q)

* /f Obligar a los programas a salir durante el proceso de cierre

* /n: No crear una carpeta de desinstalación

* /z No reiniciar al completarse la instalación

* /q Utilizar el modo silencioso o desatendido sin intervención del usuario (este parámetro es un superconjunto del parámetro /m)

* /m: Utilizar el modo desatendido con un interfaz de usuario

* /l: Listar las revisiones instaladas

*

Información sobre archivos
La versión inglesa de esta actualización tiene los atributos de archivo (o posteriores) indicados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en el horario universal coordinado (UTC). Cuando se consulta la información de archivo, ésta se convierte al horario local. Para averiguar la diferencia entre el horario universal coordinado y el local, utilice la ficha Zona horaria en la herramienta Fecha y hora del Panel de control.

Nota La información de fecha y hora podría cambiar durante la instalación. La información de versión, tamaño y nombre de archivo debe utilizarse para determinar que los archivos son correctos.

Windows NT® Workstation 4.0

Fecha Hora Versión Tamaño Nombre archivo Carpeta
--------------------------------------------------------------------
24-Ene-2004 00:12 5.131.1880.14 465.680 Crypt32.dll
25-Sep-2002 21:36 5.0.1558.6072 90.384 Cryptdlg.dll
12-Dic-2003 00:10 5.131.1878.14 440.080 Cryptui.dll
27-Feb-2004 16:43 4.0.1381.7263 205.584 Gdi32.dll
23-Feb-2004 15:13 4.0.1381.7263 40.720 Mf3216.dll
05-Mar-2004 23:59 5.0.2195.6905 53.520 Msasn1.dll
28-Feb-2004 01:31 5.131.1880.14 37.136 Mscat32.dll
09-Ene-2004 15:40 4.0.1381.7255 125.200 Msgina.dll
07-Ene-2003 02:22 5.131.1878.13 28.432 Mssip32.dll
18-Mar-2004 10:20 4.0.1381.7265 958.336 Ntkrnlmp.exe
18-Mar-2004 10:20 4.0.1381.7265 937.984 Ntoskrnl.exe
25-Oct-2003 01:13 4.86.1964.1880 143.632 Schannel.dll
12-Dic-2003 22:24 5.131.1880.14 6.928 Softpub.dll
27-Feb-2004 16:43 4.0.1381.7255 326.928 User32.dll
07-Ene-2004 10:47 4.0.1381.7255 1.255.152 Win32k.sys
27-Feb-2004 16:43 4.0.1381.7260 174.864 Winsrv.dll
19-Feb-2004 17:50 5.131.1880.14 165.648 Wintrust.dll
25-Oct-2003 01:13 4.87.1964.1880 112.912 Schannel.dll 128bit


Windows NT Server 4.0:

Fecha Hora Versión Tamaño Nombre archivo Carpeta
-----------------------------------------------------------------------
24-Ene-2004 00:12 5.131.1880.14 465.680 Crypt32.dll
25-Sep-2002 21:36 5.0.1558.6072 90.384 Cryptdlg.dll
12-Dic-2003 00:10 5.131.1878.14 440.080 Cryptui.dll
27-Feb-2004 16:43 4.0.1381.7263 205.584 Gdi32.dll
23-Feb-2004 15:13 4.0.1381.7263 40.720 Mf3216.dll
05-Mar-2004 23:59 5.0.2195.6905 53.520 Msasn1.dll
28-Feb-2004 01:31 5.131.1880.14 37.136 Mscat32.dll
09-Ene-2004 15:40 4.0.1381.7255 125.200 Msgina.dll
07-Ene-2003 02:22 5.131.1878.13 28.432 Mssip32.dll
18-Mar-2004 10:20 4.0.1381.7265 958.336 Ntkrnlmp.exe
18-Mar-2004 10:20 4.0.1381.7265 937.984 Ntoskrnl.exe
25-Oct-2003 01:13 4.86.1964.1880 143.632 Schannel.dll
12-Dic-2003 22:24 5.131.1880.14 6.928 Softpub.dll
27-Feb-2004 16:43 4.0.1381.7255 326.928 User32.dll
07-Ene-2004 10:47 4.0.1381.7255 1.255.152 Win32k.sys
27-Feb-2004 16:43 4.0.1381.7260 174.864 Winsrv.dll
19-Feb-2004 17:50 5.131.1880.14 165.648 Wintrust.dll
25-Oct-2003 01:13 4.87.1964.1880 112.912 Schannel.dll 128bit


Windows NT Server 4.0 Terminal Server Edition:

Fecha Hora Versión Tamaño Nombre archivo Carpeta
-----------------------------------------------------------------------
24-Ene-2004 00:12 5.131.1880.14 465.680 Crypt32.dll
25-Sep-2002 21:36 5.0.1558.6072 90.384 Cryptdlg.dll
12-Dic-2003 00:10 5.131.1878.14 440.080 Cryptui.dll
24-Feb-2004 18:25 4.0.1381.33562 206.096 Gdi32.dll
24-Feb-2004 18:25 4.0.1381.33562 40.208 Mf3216.dll
05-Mar-2004 23:59 5.0.2195.6905 53.520 Msasn1.dll
28-Feb-2004 01:31 5.131.1880.14 37.136 Mscat32.dll
09-Ene-2004 15:41 4.0.1381.33559 208.656 Msgina.dll
07-Ene-2003 02:22 5.131.1878.13 28.432 Mssip32.dll
18-Mar-2004 11:44 4.0.1381.33563 1.004.160 Ntkrnlmp.exe
18-Mar-2004 11:44 4.0.1381.33563 983.104 Ntoskrnl.exe
25-Oct-2003 01:13 4.86.1964.1880 143.632 Schannel.dll
12-Dic-2003 22:24 5.131.1880.14 6.928 Softpub.dll
19-Aug-2003 13:58 4.0.1381.33552 332.048 User32.dll
26-Ene-2004 16:59 4.0.1381.33559 1.280.816 Win32k.sys
16-Dic-2003 17:56 4.0.1381.33559 196.368 Winsrv.dll
19-Feb-2004 17:50 5.131.1880.14 165.648 Wintrust.dll
25-Oct-2003 01:13 4.87.1964.1880 112.912 Schannel.dll 128bit

Comprobación de la instalación de la actualización
Para comprobar que la actualización de seguridad está instalada en un equipo afectado, puede tratar de utilizar la herramienta Baseline Security Analyzer (MBSA) de Microsoft, lo que permite a los administradores examinar sistemas remotos y locales para detectar las actualizaciones de seguridad que faltan y las configuraciones de seguridad incorrectas más comunes. Para obtener más información acerca de MBSA, visite el sitio Web Microsoft Baseline Security Analyzer.



También podría comprobar los archivos que ha instalado esta actualización de seguridad revisando la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB835732\File 1

Nota Esta clave del Registro puede no crearse correctamente si el administrador o un OEM integran o incorporan la actualización de seguridad 835732 en los archivos fuente de instalación de Windows.



Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

· Carlos Sarraute, de Core Security Technologies, por comunicar la vulnerabilidad de LDAP (CAN-2003-0663).

· Internet Security Systems por informar de la vulnerabilidad de PCT (CAN-2003-0719).

· Ondrej Sevecek por informar de la vulnerabilidad de Winlogon (CAN-2003-0806).

· iDefense y Jouko Pynnönen por informar de la vulnerabilidad de la Ayuda y soporte técnico (CAN-2003-0907).

· Brett Moore, de Security-Assessment.com, César Cerrudo y Ben Pryor por comunicar la vulnerabilidad del Administrador de utilidades (CAN-2003-0908).

· NSFOCUS Security Team por informar de la vulnerabilidad de Negotiate SSP (CAN-2004-0119).

· John Lampe, de Tenable Network Security, por comunicar la vulnerabilidad de SSL (CAN-2004-0120)

· Foundstone, Inc y Qualys por informar de la vulnerabilidad de ASN.1 ‘Double Free’ (CAN-2004-0123).

· eEye Digital Security por notificar la vulnerabilidad LSASS (CAN-2003-0533), la vulnerabilidad Metarchivo (CAN-2003-0906), la vulnerabilidad Tabla de descriptor local (CAN-2003-0910), y la vulnerabilidad Máquina DOS Virtual (CAN-2004-0118).



Obtención de otras actualizaciones de seguridad:

Las actualizaciones para otros problemas de seguridad están disponibles en las ubicaciones siguientes:

· En el Centro de descargas de Microsoft están disponibles las actualizaciones de seguridad: si ejecuta una búsqueda de las palabras clave “revisión seguridad” (security patch) podrá encontrarlas fácilmente.

· Las actualizaciones para plataformas de usuarios están disponibles en el sitio Web de Windows Update.

Soporte técnico:

· Los clientes de EE.UU. y Canadá pueden obtener soporte técnico de los Servicios de soporte técnico de Microsoft en 1-866-PCSAFETY. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad son gratuitas.

· Los clientes internacionales pueden obtener soporte técnico en las subsidiarias de Microsoft de sus países. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad son gratuitas. En el sitio Web de soporte técnico internacional (en inglés), está disponible información acerca de cómo ponerse en contacto con el soporte técnico de Microsoft.

Recursos de seguridad:

· En el sitio Web Seguridad de Microsoft TechNet se proporciona información adicional acerca de la seguridad de los productos de Microsoft.

· Servicios de actualización de software de Microsoft

· Microsoft Baseline Security Analyzer (MBSA)

· Windows Update

· Catálogo de Windows Update: Consulte el artículo de Knowledge Base 323166 para obtener más información acerca del Catálogo de Windows Update.

· Office Update

Software Update Services (SUS):

Los servicios de actualización de software de Microsoft (SUS, Software Update Services) permiten a los administradores implementar con rapidez y confiabilidad las actualizaciones críticas y de seguridad más recientes en servidores basados en Windows® 2000 y Windows Server™ 2003, y en sistemas de escritorio donde se ejecute Windows 2000 Professional o Windows XP Professional.

Si desea obtener información acerca de cómo implementar esta actualización de seguridad con los servicios de actualización de software, visite el sitio Web de Software Update Services, en inglés.

Systems Management Server (SMS):

Systems Management Server puede proporcionar ayuda en la implementación de esta actualización de seguridad. Para obtener información acerca de Systems Management Server, visite el sitio Web de SMS (en inglés). Para obtener información detallada sobre las numerosas mejoras realizadas en el proceso de implementación de las actualizaciones de seguridad que proporciona SMS 2003, visite el sitio Web de SMS 2003 Security Patch Management (Administración de revisiones de seguridad de SMS 2003), en inglés. Para los usuarios de SMS 2.0, también proporciona varias herramientas adicionales que ayudarán a los administradores en la implementación de actualizaciones de seguridad, por ejemplo, Software Update Services Feature Pack de SMS 2.0 y Administration Feature Pack de SMS 2.0. Software Update Services Feature Pack de SMS 2.0 utiliza las utilidades Microsoft Baseline Security Analyzer y Microsoft Office Detection Tool como ayuda para remediar las vulnerabilidades indicadas en los boletines de seguridad. Algunas actualizaciones de software pueden requerir que tenga derechos administrativos después de reiniciar el sistema.

Nota Las capacidades de inventario de Software Update Services Feature Pack de SMS 2.0 se pueden usar en las actualizaciones de sistemas específicos mientras que en la instalación puede usarse la utilidad Elevated Rights Deployment Tool de Administration Feature Pack de SMS 2.0. Con ellas se posibilita una implementación óptima de las actualizaciones que requieren realizarse de forma explícita con Systems Management Server y derechos administrativos tras reiniciar el sistema.

aunque me imagino que tendrías actualizado el xp.

Saludos.
 

Lauman

Nuevo Miembro
Miembro
checa si no tienes 2 veces corriendo este proceso, si es así hay nos cuentas...
Bueno el proceso no esta corriendo dos veces,solo corre el que viene con el Windows XP.

El Windows XP pro que tengo esta con el service pack 2(con todo los parches al dia).Ahora lo que hice fue ir a donde se bloquea,permite o agragan aplicaciones del firewall de norton y elimine el lsass(del firewall no del sistema),para probar si se llega a conectar otra vez(espero que no lo aga nunca mas ;) ).Si se llega a conectar otra vez tendre que tomar serias medidas :(

Gracias a todos por sus ayudas
 
Estado
Cerrado para nuevas respuestas.
Arriba Pie