Boletín de seguridad de Microsoft MS15-034: Crítico
Vulnerabilidad en HTTP.sys podría permitir la ejecución remota de código (3042553)
Publicado: 14 de abril de 2015 | Actualizado: 22 de abril de 2015
Versión: 1.1
Resumen ejecutivo
Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un atacante envía una solicitud HTTP especialmente diseñada a un sistema Windows afectado.
Esta actualización de seguridad es crítica para todas las ediciones compatibles de Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 y Windows Server 2012 R2. Para obtener más información, consulte la sección Software afectado.
La actualización de seguridad aborda la vulnerabilidad modificando cómo controla la pila HTTP de Windows las solicitudes. Para obtener más información sobre la vulnerabilidad, consulte la sección VulnerabilityInformation .
Para obtener más información sobre este documento, consulte el artículo de Microsoft Knowledge Base 3042553.
Software afectado
Las siguientes versiones o ediciones de software se ven afectadas. Las versiones o ediciones que no aparecen en la lista son anteriores a su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.
| Sistema operativo | Impacto máximo en la seguridad | Clasificación de gravedad agregada | Novedades reemplazado |
|---|---|---|---|
| Windows 7 | |||
| Windows 7 para sistemas de 32 bits Service Pack 1 (3042553) | Ejecución remota de código | Crítico | None |
| Windows 7 para sistemas basados en x64 Service Pack 1 (3042553) | Ejecución remota de código | Crítico | None |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (3042553) | Ejecución remota de código | Crítico | None |
| Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1 (3042553) | Ejecución remota de código | Crítico | None |
| Windows 8 y Windows 8.1 | |||
| Windows 8 para sistemas de 32 bits (3042553) | Ejecución remota de código | Crítico | 2829254 en MS13-039 |
| Windows 8 para sistemas basados en x64 (3042553) | Ejecución remota de código | Crítico | 2829254 en MS13-039 |
| Windows 8.1 para sistemas de 32 bits (3042553) | Ejecución remota de código | Crítico | None |
| Windows 8.1 para sistemas basados en x64 (3042553) | Ejecución remota de código | Crítico | None |
| Windows Server 2012 y Windows Server 2012 R2 | |||
| Windows Server 2012 (3042553) | Ejecución remota de código | Crítico | 2829254 en MS13-039 |
| Windows Server 2012 R2 (3042553) | Ejecución remota de código | Crítico | None |
| Opción de instalación Server Core | |||
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (instalación Server Core) (3042553) | Ejecución remota de código | Crítico | None |
| Windows Server 2012 (instalación server Core) (3042553) | Ejecución remota de código | Crítico | 2829254 en MS13-039 |
| Windows Server 2012 R2 (instalación server Core) (3042553) | Ejecución remota de código | Crítico | None |
Nota La actualización está disponible para Windows Technical Preview y Windows Server Technical Preview. Se recomienda a los clientes que ejecutan estos sistemas operativos aplicar la actualización, que está disponible a través de Windows Update.
Clasificaciones de gravedad e identificadores de vulnerabilidad
Las siguientes clasificaciones de gravedad asumen el posible impacto máximo de la vulnerabilidad. Para obtener información sobre la probabilidad, en un plazo de 30 días a partir de la publicación de este boletín de seguridad, de la vulnerabilidad en relación con su clasificación de gravedad e impacto en la seguridad, consulte el Índice de vulnerabilidades en el resumen del boletín de abril.
| Clasificación de gravedad de vulnerabilidad y impacto máximo en la seguridad por parte del software afectado | ||
|---|---|---|
| Software afectado | HTTP.sys vulnerabilidad de ejecución remota de código: CVE-2015-1635 | Clasificación de gravedad agregada |
| Windows 7 | ||
| Windows 7 para sistemas de 32 bits Service Pack 1 (3042553) | Ejecución crítica de código remoto | Crítica |
| Windows 7 para sistemas basados en x64 Service Pack 1 3042553 | Ejecución crítica de código remoto | Crítica |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1 (3042553) | Ejecución crítica de código remoto | Crítica |
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (3042553) | Ejecución crítica de código remoto | Crítica |
| Windows 8 y Windows 8.1 | ||
| Windows 8 para sistemas de 32 bits (3042553) | Ejecución crítica de código remoto | Crítica |
| Windows 8 para sistemas basados en x64 (3042553) | Ejecución crítica de código remoto | Crítica |
| Windows Server 2012 y Windows Server 2012 R2 | ||
| Windows Server 2012 (3042553) | Ejecución crítica de código remoto | Crítica |
| Windows Server 2012 R2 (3042553) | Ejecución crítica de código remoto | Crítica |
| Opción de instalación Server Core | ||
| Windows Server 2012 (instalación server Core) (3042553) | Ejecución crítica de código remoto | Crítica |
| Windows Server 2012 R2 (instalación server Core) (3042553) | Ejecución crítica de código remoto | Crítica |
Información de vulnerabilidad
HTTP.sys vulnerabilidad de ejecución remota de código: CVE-2015-1635
Existe una vulnerabilidad de ejecución remota de código en la pila de protocolos HTTP (HTTP.sys) que se produce cuando HTTP.sys analiza incorrectamente las solicitudes HTTP diseñadas especialmente. Un atacante que aprovechara correctamente esta vulnerabilidad podría ejecutar código arbitrario en el contexto de la cuenta del sistema.
Para aprovechar esta vulnerabilidad, un atacante tendría que enviar una solicitud HTTP especialmente diseñada al sistema afectado. La actualización aborda la vulnerabilidad modificando cómo controla la pila HTTP de Windows las solicitudes.
Microsoft recibió información sobre esta vulnerabilidad a través de la divulgación coordinada de vulnerabilidades. Cuando se emitió originalmente este boletín de seguridad, Microsoft no había recibido ninguna información para indicar que esta vulnerabilidad se había usado públicamente para atacar a los clientes.
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.
Soluciones alternativas
La siguiente solución alternativa puede resultar útil en su situación:
Deshabilitación del almacenamiento en caché del kernel de IIS
Esta solución alternativa es específica de IIS y puede causar problemas de rendimiento. Para obtener más información, consulte Habilitación del almacenamiento en caché de kernel (IIS 7).
Implementación de actualizaciones de seguridad
Para obtener información sobre la implementación de actualizaciones de seguridad, consulte el artículo de Microsoft Knowledge Base al que se hace referencia en el resumen ejecutivo.
Agradecimientos
Microsoft reconoce los esfuerzos de los miembros de la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Consulte Confirmaciones para obtener más información.
Declinación de responsabilidades
La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (14 de abril de 2015): Boletín publicado.
- V1.1 (22 de abril de 2015): boletín revisado para corregir las entradas de reemplazo de actualizaciones para Windows 8 y Windows Server 2012 en la tabla Software afectado. Solo se trata de un cambio informativo. No se han producido cambios en los archivos de actualización. Los clientes que ya han actualizado correctamente sus sistemas no necesitan realizar ninguna acción.
Página generada 2015-04-22 11:30Z-07:00.