Resumen del boletín de seguridad de Microsoft para octubre de 2009
Publicado: 13 de octubre de 2009 | Actualizado: 22 de junio de 2010
Versión: 4.2
En este resumen del boletín se enumeran los boletines de seguridad publicados para octubre de 2009.
Con la publicación de los boletines de octubre de 2009, este resumen del boletín reemplaza la notificación anticipada del boletín emitida originalmente el 8 de octubre de 2009. Para obtener más información sobre el servicio de notificación anticipada del boletín, consulte Notificación anticipada del boletín de seguridad de Microsoft.
Para obtener información sobre cómo recibir notificaciones automáticas cada vez que se emiten boletines de seguridad de Microsoft, visite Notificaciones de seguridad técnica de Microsoft.
Microsoft hospeda un webcast para abordar las preguntas de los clientes sobre estos boletines el 14 de octubre de 2009, a las 11:00 AM Hora del Pacífico (EE. UU. y Canadá). Regístrese ahora para el webcast del boletín de seguridad de octubre. Después de esta fecha, este webcast está disponible a petición. Para obtener más información, consulte Resúmenes y webcasts del boletín de seguridad de Microsoft.
Microsoft también proporciona información para ayudar a los clientes a priorizar las actualizaciones de seguridad mensuales con las actualizaciones que no son de seguridad y de alta prioridad que se publican el mismo día que las actualizaciones de seguridad mensuales. Consulte la sección Otra información.
Información del boletín
Resúmenes ejecutivos
En la tabla siguiente se resumen los boletines de seguridad de este mes en orden de gravedad.
Para obtener más información sobre el software afectado, consulte la sección siguiente, Aplicaciones afectadas y Ubicaciones de descarga.
| Identificador de boletín | Título del boletín y resumen ejecutivo | Clasificación máxima de gravedad y impacto en la vulnerabilidad | Requisito de reinicio | Software afectado |
|---|---|---|---|---|
| MS09-050 | Las vulnerabilidades de SMBv2 podrían permitir la ejecución remota de código (975517)\ \ Esta actualización de seguridad resuelve una divulgación pública y dos vulnerabilidades notificadas de forma privada en el bloque de mensajes del servidor versión 2 (SMBv2). La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un atacante envió un paquete SMB especialmente diseñado a un equipo que ejecuta el servicio Server. Los procedimientos recomendados de firewall y las configuraciones de firewall predeterminadas estándar pueden ayudar a proteger las redes frente a ataques que se originan desde fuera del perímetro empresarial. Los procedimientos recomendados recomiendan que los sistemas conectados a Internet tengan un número mínimo de puertos expuestos. | Crítico \ Ejecución remota de código | Requiere que se reinicie | Microsoft Windows |
| MS09-051 | Las vulnerabilidades de Windows Media Runtime podrían permitir la ejecución remota de código (975682)\ \ Esta actualización de seguridad resuelve dos vulnerabilidades notificadas de forma privada en Windows Media Runtime. Las vulnerabilidades podrían permitir la ejecución remota del código si un usuario abrió un archivo multimedia especialmente diseñado o recibió contenido de streaming especialmente diseñado desde un sitio web o cualquier aplicación que ofrezca contenido web. Un atacante que aprovechara correctamente estas vulnerabilidades podría obtener los mismos derechos de usuario que el usuario local. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos. | Crítico \ Ejecución remota de código | Puede requerir reiniciar | Microsoft Windows |
| MS09-052 | Vulnerabilidad en Reproductor multimedia de Windows podría permitir la ejecución remota de código (974112)\ \ Esta actualización de seguridad resuelve una vulnerabilidad notificada de forma privada en Reproductor multimedia de Windows. La vulnerabilidad podría permitir la ejecución remota de código si se reproduce un archivo ASF especialmente diseñado mediante Reproductor multimedia de Windows 6.4. Un atacante que aprovechara correctamente esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos. | Crítico \ Ejecución remota de código | Puede requerir reiniciar | Microsoft Windows |
| MS09-054 | Actualización acumulativa de seguridad para Internet Explorer (974455)\ \ Esta actualización de seguridad resuelve tres vulnerabilidades notificadas de forma privada y una vulnerabilidad divulgada públicamente en Internet Explorer. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario ve una página web especialmente diseñada mediante Internet Explorer. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos. Los usuarios de Firefox que ejecutan el complemento Windows Presentation Foundation (WPF) y no lo tienen deshabilitado también deben aplicar esta actualización de seguridad. Para obtener más información sobre este problema, consulte la sección de preguntas más frecuentes sobre vulnerabilidades de control de componentes HTML - CVE-2009-2529. | Crítico \ Ejecución remota de código | Requiere que se reinicie | Microsoft Windows,\ Internet Explorer |
| MS09-055 | Actualización de seguridad acumulativa de bits de eliminación de ActiveX (973525)\ \ Esta actualización de seguridad soluciona una vulnerabilidad notificada de forma privada que es común a varios controles ActiveX y que actualmente se está aprovechando. La vulnerabilidad que afecta a los controles ActiveX compilados con la versión vulnerable de la Biblioteca de plantillas activas de Microsoft (ATL) podría permitir la ejecución remota de código si un usuario ve una página web especialmente diseñada con Internet Explorer, creando instancias del control ActiveX. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos. | Crítico \ Ejecución remota de código | Puede requerir reiniciar | Microsoft Windows |
| MS09-060 | Vulnerabilidades de los controles ActiveX de la Biblioteca de plantillas activas (ATL) de Microsoft Office podrían permitir la ejecución remota de código (973965)\ \ Esta actualización de seguridad resuelve varias vulnerabilidades notificadas de forma privada en controles ActiveX para Microsoft Office compilados con una versión vulnerable de la Biblioteca de plantillas activas (ATL). Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario cargó un componente o control especialmente diseñado. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos. | Crítico \ Ejecución remota de código | Puede requerir reiniciar | Microsoft Office |
| MS09-061 | Las vulnerabilidades de Common Language Runtime de Microsoft .NET Podrían permitir la ejecución remota de código (974378)\ \ Esta actualización de seguridad resuelve tres vulnerabilidades notificadas de forma privada en Microsoft .NET Framework y Microsoft Silverlight. Las vulnerabilidades podrían permitir la ejecución remota de código en un sistema cliente si un usuario ve una página web especialmente diseñada mediante un explorador web que puede ejecutar aplicaciones xaml Browser Applications (XBAPs) o Silverlight, o si un atacante logra convencer a un usuario de ejecutar una aplicación de Microsoft .NET especialmente diseñada. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos. Las vulnerabilidades también podrían permitir la ejecución remota de código en un sistema de servidor que ejecuta IIS, si ese servidor permite procesar páginas ASP.NET y un atacante puede cargar correctamente una página de ASP.NET especialmente diseñada en ese servidor y ejecutarla, como podría ser el caso en un escenario de hospedaje web. Las aplicaciones de Microsoft .NET, las aplicaciones de Silverlight, los XBAPs y las páginas de ASP.NET que no son malintencionadas no corren el riesgo de estar en peligro debido a esta vulnerabilidad. | Crítico \ Ejecución remota de código | Puede requerir reiniciar | Microsoft Windows,\ Microsoft .NET Framework,\ Microsoft Silverlight |
| MS09-062 | Vulnerabilidades en GDI+ podrían permitir la ejecución remota de código (957488)\ \ Esta actualización de seguridad resuelve varias vulnerabilidades notificadas de forma privada en Microsoft Windows GDI+. Estas vulnerabilidades podrían permitir la ejecución remota de código si un usuario ha visto un archivo de imagen especialmente diseñado mediante software afectado o ha examinado un sitio web que contiene contenido especialmente diseñado. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos. | Crítico \ Ejecución remota de código | Puede requerir reiniciar | Microsoft Windows,\ Internet Explorer,\ Microsoft .NET Framework,\ Microsoft Office,\ Microsoft SQL Server,\ Microsoft Developer Tools,\ Microsoft Forefront |
| MS09-053 | Vulnerabilidades del servicio FTP para Internet Information Services podría permitir la ejecución remota de código (975254)\ \ Esta actualización de seguridad resuelve dos vulnerabilidades divulgadas públicamente en el servicio FTP en Microsoft Internet Information Services (IIS) 5.0, Microsoft Internet Information Services (IIS) 5.1, Microsoft Internet Information Services (IIS) 6.0 y Microsoft Internet Information Services (IIS) 7.0. En IIS 7.0, solo se ve afectado el servicio FTP 6.0. Las vulnerabilidades podrían permitir la ejecución remota de código (RCE) en sistemas que ejecutan el servicio FTP en IIS 5.0 o denegación de servicio (DoS) en sistemas que ejecutan el servicio FTP en IIS 5.0, IIS 5.1, IIS 6.0 o IIS 7.0. | Importante \ Ejecución remota de código | Puede requerir reiniciar | Microsoft Windows |
| MS09-056 | Vulnerabilidades en Windows CryptoAPI podría permitir la suplantación de identidad (974571)\ \ Esta actualización de seguridad resuelve dos vulnerabilidades divulgadas públicamente en Microsoft Windows. Las vulnerabilidades podrían permitir la suplantación de identidad si un atacante obtiene acceso al certificado usado por el usuario final para la autenticación. | Importante \ Suplantación de identidad | Requiere que se reinicie | Microsoft Windows |
| MS09-057 | Vulnerabilidad del servicio de indexación podría permitir la ejecución remota de código (969059)\ \ Esta actualización de seguridad resuelve una vulnerabilidad notificada de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un atacante configura una página web malintencionada que invoca al servicio de indexación a través de una llamada a su componente ActiveX. Esta llamada podría incluir una dirección URL malintencionada y aprovechar la vulnerabilidad, lo que concede al atacante acceso al sistema cliente con los privilegios del usuario que explora la página web. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos. | Importante \ Ejecución remota de código | Requiere que se reinicie | Microsoft Windows |
| MS09-058 | Vulnerabilidades en el kernel de Windows podría permitir la elevación de privilegios (971486)\ \ Esta actualización de seguridad resuelve varias vulnerabilidades notificadas de forma privada en el kernel de Windows. La más grave de las vulnerabilidades podría permitir la elevación de privilegios si un atacante inició sesión en el sistema y ejecutó una aplicación especialmente diseñada. Un atacante debe tener credenciales de inicio de sesión válidas y poder iniciar sesión localmente para aprovechar cualquiera de estas vulnerabilidades. Los usuarios anónimos no pudieron aprovechar las vulnerabilidades de forma remota o por parte de los usuarios anónimos. | Importante \ Elevación de privilegios | Requiere que se reinicie | Microsoft Windows |
| MS09-059 | Vulnerabilidad en el servicio subsistema de autoridad de seguridad local podría permitir la denegación de servicio (975467)\ \ Esta actualización de seguridad resuelve una vulnerabilidad notificada de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la denegación de servicio si un atacante envió un paquete diseñado malintencionadamente durante el proceso de autenticación NTLM. | Importante \ Denegación de servicio | Requiere que se reinicie | Microsoft Windows |
Índice de vulnerabilidades
En la tabla siguiente se proporciona una evaluación de vulnerabilidades de cada una de las vulnerabilidades abordadas este mes. Las vulnerabilidades se enumeran en orden de id. de boletín y identificador CVE.
Cómo usar esta tabla?
Use esta tabla para obtener información sobre la probabilidad de que se publique el código de vulnerabilidad de seguridad en un plazo de 30 días después de la publicación del boletín de seguridad, para cada una de las actualizaciones de seguridad que puede que necesite instalar. Debe revisar cada una de las evaluaciones siguientes, de acuerdo con su configuración específica, con el fin de priorizar la implementación. Para obtener más información sobre lo que significan estas clasificaciones y cómo se determinan, consulte Índice de vulnerabilidades de seguridad de Microsoft.
| Identificador de boletín | Título del boletín | ID. de CVE | Evaluación del índice de vulnerabilidades | Notas clave |
|---|---|---|---|---|
| MS09-050 | Las vulnerabilidades de SMBv2 podrían permitir la ejecución remota de código (975517) | CVE-2009-2526 | 3 - Poco probable que funcione código de vulnerabilidad de seguridad | Se trata de una vulnerabilidad de denegación de servicio limitada. |
| MS09-050 | Las vulnerabilidades de SMBv2 podrían permitir la ejecución remota de código (975517) | CVE-2009-2532 | 1 : es probable que el código de vulnerabilidad de seguridad coherente | (Ninguna) |
| MS09-050 | Las vulnerabilidades de SMBv2 podrían permitir la ejecución remota de código (975517) | CVE-2009-3103 | 1 : es probable que el código de vulnerabilidad de seguridad coherente | El código de vulnerabilidad se ha publicado públicamente. |
| MS09-051 | Las vulnerabilidades de Windows Media Runtime podrían permitir la ejecución remota de código (975682) | CVE-2009-0555 | 1 : es probable que el código de vulnerabilidad de seguridad coherente | (Ninguna) |
| MS09-051 | Las vulnerabilidades de Windows Media Runtime podrían permitir la ejecución remota de código (975682) | CVE-2009-2525 | 2 - Es probable que el código de vulnerabilidad de seguridad incoherente | (Ninguna) |
| MS09-052 | Vulnerabilidad en Reproductor multimedia de Windows podría permitir la ejecución remota de código (974112) | CVE-2009-2527 | 1 : es probable que el código de vulnerabilidad de seguridad coherente | (Ninguna) |
| MS09-053 | Las vulnerabilidades del servicio FTP para Internet Information Services podrían permitir la ejecución remota de código (975254) | CVE-2009-2521 | 3 - Poco probable que funcione código de vulnerabilidad de seguridad | Se trata de una vulnerabilidad de denegación de servicio. El código de vulnerabilidad se ha publicado públicamente. |
| MS09-053 | Las vulnerabilidades del servicio FTP para Internet Information Services podrían permitir la ejecución remota de código (975254) | CVE-2009-3023 | 1 : es probable que el código de vulnerabilidad de seguridad coherente | El código de vulnerabilidad se ha publicado públicamente. |
| MS09-054 | Actualización acumulativa de seguridad para Internet Explorer (974455) | CVE-2009-1547 | 2 - Es probable que el código de vulnerabilidad de seguridad incoherente | (Ninguna) |
| MS09-054 | Actualización acumulativa de seguridad para Internet Explorer (974455) | CVE-2009-2529 | 1 : es probable que el código de vulnerabilidad de seguridad coherente | (Ninguna) |
| MS09-054 | Actualización acumulativa de seguridad para Internet Explorer (974455) | CVE-2009-2530 | 2 - Es probable que el código de vulnerabilidad de seguridad incoherente | En los sistemas de Microsoft Windows 2000, la falta de protecciones de montón aumenta la evaluación del índice de vulnerabilidades de seguridad a 1 : es probable que el código de vulnerabilidad sea coherente. |
| MS09-054 | Actualización acumulativa de seguridad para Internet Explorer (974455) | CVE-2009-2531 | 2 - Es probable que el código de vulnerabilidad de seguridad incoherente | |
| MS09-055 | Actualización de seguridad acumulativa de bits de eliminación de ActiveX (973525) | CVE-2009-2493 | None | (Esta vulnerabilidad ya se ha proporcionado una evaluación del índice de vulnerabilidad en el Resumen del boletín de julio. Esto se debe a que esta vulnerabilidad se solucionó por primera vez en MS09-035). Consulte también el mismo número cve en MS09-060. |
| MS09-056 | Las vulnerabilidades de CryptoAPI de Windows podrían permitir la suplantación de identidad (974571) | CVE-2009-2510 | 3 - Poco probable que funcione código de vulnerabilidad de seguridad | Se trata de una vulnerabilidad de suplantación de identidad. |
| MS09-056 | Las vulnerabilidades de CryptoAPI de Windows podrían permitir la suplantación de identidad (974571) | CVE-2009-2511 | 3 - Poco probable que funcione código de vulnerabilidad de seguridad | Se trata de una vulnerabilidad de suplantación de identidad. |
| MS09-057 | Vulnerabilidad en el servicio de indexación podría permitir la ejecución remota de código (969059) | CVE-2009-2507 | 2 - Es probable que el código de vulnerabilidad de seguridad incoherente | (Ninguna) |
| MS09-058 | Las vulnerabilidades en el kernel de Windows podrían permitir la elevación de privilegios (971486) | CVE-2009-2515 | 2 - Es probable que el código de vulnerabilidad de seguridad incoherente | (Ninguna) |
| MS09-058 | Las vulnerabilidades en el kernel de Windows podrían permitir la elevación de privilegios (971486) | CVE-2009-2516 | 3 - Poco probable que funcione código de vulnerabilidad de seguridad | Esta vulnerabilidad provoca una condición de denegación de servicio cuando se destina a un recurso compartido de red y una condición de elevación de privilegios cuando se usa localmente para dirigirse a un sistema local. |
| MS09-058 | Las vulnerabilidades en el kernel de Windows podrían permitir la elevación de privilegios (971486) | CVE-2009-2517 | 3 - Poco probable que funcione código de vulnerabilidad de seguridad | Se trata de una vulnerabilidad de denegación de servicio. |
| MS09-059 | Vulnerabilidad en el servicio subsistema de autoridad de seguridad local podría permitir la denegación de servicio (975467) | CVE-2009-2524 | 3 - Poco probable que funcione código de vulnerabilidad de seguridad | Se trata de una vulnerabilidad de denegación de servicio limitada. |
| MS09-060 | Vulnerabilidades en controles Active Template Library (ATL) activeX de Microsoft Office podrían permitir la ejecución remota de código (973965) | CVE-2009-0901 | None | (Esta vulnerabilidad ya se ha proporcionado una evaluación del índice de vulnerabilidad en el Resumen del boletín de julio. Esto se debe a que esta vulnerabilidad se solucionó por primera vez en MS09-035). |
| MS09-060 | Vulnerabilidades en controles Active Template Library (ATL) activeX de Microsoft Office podrían permitir la ejecución remota de código (973965) | CVE-2009-2493 | None | (Esta vulnerabilidad ya se ha proporcionado una evaluación del índice de vulnerabilidad en el Resumen del boletín de julio. Esto se debe a que esta vulnerabilidad se solucionó por primera vez en MS09-035). Consulte también el mismo número cve en MS09-055. |
| MS09-060 | Vulnerabilidades en controles Active Template Library (ATL) activeX de Microsoft Office podrían permitir la ejecución remota de código (973965) | CVE-2009-2495 | 3 - Poco probable que funcione código de vulnerabilidad de seguridad | Se trata de una vulnerabilidad de divulgación de información. |
| MS09-061 | Las vulnerabilidades de Common Language Runtime de Microsoft .NET podrían permitir la ejecución remota de código (974378) | CVE-2009-0090 | 1 : es probable que el código de vulnerabilidad de seguridad coherente | (Ninguna) |
| MS09-061 | Las vulnerabilidades de Common Language Runtime de Microsoft .NET podrían permitir la ejecución remota de código (974378) | CVE-2009-0091 | 1 : es probable que el código de vulnerabilidad de seguridad coherente | (Ninguna) |
| MS09-061 | Las vulnerabilidades de Common Language Runtime de Microsoft .NET podrían permitir la ejecución remota de código (974378) | CVE-2009-2497 | 1 : es probable que el código de vulnerabilidad de seguridad coherente | Existe la posibilidad de ataques que afectan a Internet. |
| MS09-062 | Las vulnerabilidades de GDI+ podrían permitir la ejecución remota de código (957488) | CVE-2009-2500 | 2 - Es probable que el código de vulnerabilidad de seguridad incoherente | (Ninguna) |
| MS09-062 | Las vulnerabilidades de GDI+ podrían permitir la ejecución remota de código (957488) | CVE-2009-2501 | 2 - Es probable que el código de vulnerabilidad de seguridad incoherente | (Ninguna) |
| MS09-062 | Las vulnerabilidades de GDI+ podrían permitir la ejecución remota de código (957488) | CVE-2009-2502 | 2 - Es probable que el código de vulnerabilidad de seguridad incoherente | (Ninguna) |
| MS09-062 | Las vulnerabilidades de GDI+ podrían permitir la ejecución remota de código (957488) | CVE-2009-2503 | 1 : es probable que el código de vulnerabilidad de seguridad coherente | (Ninguna) |
| MS09-062 | Las vulnerabilidades de GDI+ podrían permitir la ejecución remota de código (957488) | CVE-2009-2504 | 2 - Es probable que el código de vulnerabilidad de seguridad incoherente | (Ninguna) |
| MS09-062 | Las vulnerabilidades de GDI+ podrían permitir la ejecución remota de código (957488) | CVE-2009-2518 | 2 - Es probable que el código de vulnerabilidad de seguridad incoherente | (Ninguna) |
| MS09-062 | Las vulnerabilidades de GDI+ podrían permitir la ejecución remota de código (957488) | CVE-2009-2528 | 1 : es probable que el código de vulnerabilidad de seguridad coherente | (Ninguna) |
| MS09-062 | Las vulnerabilidades de GDI+ podrían permitir la ejecución remota de código (957488) | CVE-2009-3126 | 2 - Es probable que el código de vulnerabilidad de seguridad incoherente | (Ninguna) |
Ubicaciones de descarga y software afectadas
En las tablas siguientes se enumeran los boletines en orden de categoría y gravedad de software principales.
Cómo usar estas tablas?
Use estas tablas para obtener información sobre las actualizaciones de seguridad que puede que necesite instalar. Debe revisar cada programa de software o componente enumerado para ver si alguna actualización de seguridad pertenece a la instalación. Si aparece un programa de software o un componente, se hipervínculo la actualización de software disponible y también se muestra la clasificación de gravedad de la actualización de software.
Nota Es posible que tenga que instalar varias actualizaciones de seguridad para una sola vulnerabilidad. Revise toda la columna para cada identificador de boletín que aparece para comprobar las actualizaciones que tiene que instalar, en función de los programas o componentes que haya instalado en el sistema.
Sistema operativo Windows y componentes
Notas de Windows Server 2008 y Windows Server 2008 R2
*Instalación de Server Core afectada. Esta actualización se aplica, con la misma clasificación de gravedad, a las ediciones compatibles de Windows Server 2008 o Windows Server 2008 R2 tal como se indica, independientemente de si se instalan o no mediante la opción de instalación Server Core. Para obtener más información sobre esta opción de instalación, consulte los artículos de MSDN, Server Core y Server Core para Windows Server 2008 R2. Tenga en cuenta que la opción de instalación Server Core no se aplica a determinadas ediciones de Windows Server 2008 y Windows Server 2008 R2; consulte Comparación de las opciones de instalación de Server Core.
**Instalación de Server Core no afectada. Las vulnerabilidades abordadas por esta actualización no afectan a las ediciones admitidas de Windows Server 2008 o Windows Server 2008 R2, como se indica, cuando se instala mediante la opción de instalación Server Core. Para obtener más información sobre esta opción de instalación, consulte los artículos de MSDN, Server Core y Server Core para Windows Server 2008 R2. Tenga en cuenta que la opción de instalación Server Core no se aplica a determinadas ediciones de Windows Server 2008 y Windows Server 2008 R2; consulte Comparación de las opciones de instalación de Server Core.
Nota para MS09-061
Consulte también otras categorías de software en esta sección, Aplicaciones afectadas y Ubicaciones de descarga, para obtener más archivos de actualización en el mismo identificador de boletín. Este boletín abarca más de una categoría de software.
Notas de MS09-062
Consulte también otras categorías de software en esta sección, Aplicaciones afectadas y Ubicaciones de descarga, para obtener más archivos de actualización en el mismo identificador de boletín. Este boletín abarca más de una categoría de software.
Nota para MS09-059
[1]Este sistema operativo solo se ve afectado cuando KB968389, se ha instalado la protección ampliada para la autenticación (consulte Microsoft Security Advisory 973811). Para obtener más información, consulte la entrada en Preguntas más frecuentes (P+F) Relacionada con esta actualización de seguridad en MS09-059.
Microsoft Office Suites and Software
Notas de MS09-060
[1]Microsoft recomienda que los usuarios de Microsoft Visio Viewer 2002 y Microsoft Visio Viewer 2003 actualicen a Microsoft Office Visio Viewer 2007 Service Pack 2.
Notas de MS09-062
[2]Estas actualizaciones son idénticas.
[3]Estas actualizaciones son idénticas.
[4]Estas actualizaciones son idénticas.
Consulte también otras categorías de software en esta sección, Aplicaciones afectadas y Ubicaciones de descarga, para obtener más archivos de actualización en el mismo identificador de boletín. Este boletín abarca más de una categoría de software.
Microsoft Server Software
| Microsoft SQL Server | |
| Identificador del boletín | MS09-062 |
| Clasificación de gravedad agregada | Crítica |
| SQL Server 2000 Reporting Services Service Pack 2 | Actualización de GDR No aplicable QFE: SQL Server 2000 Reporting Services Service Pack 2 (KB970899) (crítico) |
| SQL Server 2005 Service Pack 2 | Actualización de GDR: Actualización de QFE de SQL Server 2005 Service Pack 2[1] (KB970895) (crítica): ACTUALIZACIÓN de QFE de SQL Server 2005 Service Pack 2[1] (KB970896) (crítico) |
| SQL Server 2005 x64 Edition Service Pack 2 | Actualización de GDR: actualización de QFE de SQL Server 2005 x64 Edition Service Pack 2[1] (KB970895) (crítica): actualización de QFE de SQL Server 2005 x64 Edition Service Pack 2[1] (KB970896) (crítico) |
| SQL Server 2005 para sistemas basados en Itanium Service Pack 2 | Actualización de GDR: actualización de QFE de SQL Server 2005 para sistemas basados en Itanium Service Pack 2[1] (KB970895) (crítico): actualización de QFE de SQL Server 2005 para sistemas itanium basados en Itanium Service Pack 2[1] (KB970896) (crítico) |
| SQL Server 2005 Service Pack 3 | Actualización de GDR sql Server 2005 Service Pack 3[2] (KB970892) (crítico) actualización de QFE: SQL Server 2005 Service Pack 3[2] (KB970894) (crítico) |
| SQL Server 2005 x64 Edition Service Pack 3 | Actualización de GDR: actualización QFE de SQL Server 2005 x64 Edition Service Pack 3[2] (KB970892) (crítica) actualización QFE: SQL Server 2005 x64 Edition Service Pack 3[2] (KB970894) (Crítico) |
| SQL Server 2005 para sistemas basados en Itanium Service Pack 3 | Actualización de GDR: actualización de QFE de SQL Server 2005 para Sistemas itanium basados en Itanium Service Pack 3[2] (KB970892) (crítica): actualización de QFE de SQL Server 2005 para Sistemas itanium basados en Itanium Service Pack 3[2] (KB970894) (crítico) |
Nota para MS09-062
[1]Los clientes de SQL Server 2005 Service Pack 2 con una dependencia de SharePoint de Reporting Services también deben instalar el complemento microsoft SQL Server 2005 Reporting Services para Service Pack 2 desde el Centro de descarga de Microsoft.
[2]Los clientes de SQL Server 2005 Service Pack 3 con una dependencia de SharePoint de Reporting Services también deben instalar el complemento microsoft SQL Server 2005 Reporting Services para Service Pack 3 desde el Centro de descarga de Microsoft.
Consulte también otras categorías de software en esta sección, Aplicaciones afectadas y Ubicaciones de descarga, para obtener más archivos de actualización en el mismo identificador de boletín. Este boletín abarca más de una categoría de software.
Herramientas de desarrollo y software de Microsoft
| Microsoft Silverlight | ||
| Identificador del boletín | MS09-061 | MS09-062 |
| Clasificación de gravedad agregada | Crítica | None |
| Microsoft Silverlight | Microsoft Silverlight 2[1] cuando se instala en Mac (KB970363) (crítico) | No aplicable |
| Microsoft Silverlight | Microsoft Silverlight 2[1] cuando se instala en todas las versiones de los clientes de Microsoft Windows (KB970363) (crítico) | No aplicable |
| Microsoft Silverlight | Microsoft Silverlight 2[1] cuando se instala en todas las versiones de los servidores de Microsoft Windows** (KB970363) (Moderado) | No aplicable |
| Microsoft Visual Studio | ||
| Identificador del boletín | MS09-061 | MS09-062 |
| Clasificación de gravedad agregada | None | None |
| Microsoft Visual Studio .NET 2003 Service Pack 1 | No aplicable | Microsoft Visual Studio .NET 2003 Service Pack 1 (KB971022) (sin clasificación de gravedad[2]) |
| Microsoft Visual Studio 2005 Service Pack 1 | No aplicable | Microsoft Visual Studio 2005 Service Pack 1 (KB971023) (Sin clasificación de gravedad[2]) |
| Microsoft Visual Studio 2008 | No aplicable | Microsoft Visual Studio 2008 (KB972221) (sin clasificación de gravedad[2]) |
| Microsoft Visual Studio 2008 Service Pack 1 | No aplicable | Microsoft Visual Studio 2008 Service Pack 1 (KB972222) (sin clasificación de gravedad[2]) |
| Microsoft Visual FoxPro 8.0 Service Pack 1 cuando se instala en Microsoft Windows 2000 Service Pack 4 (KB971104) | No aplicable | Microsoft Visual FoxPro 8.0 Service Pack 1 cuando se instala en Microsoft Windows 2000 Service Pack 4 (KB971104) (Sin clasificación de gravedad[2]) |
| Microsoft Visual FoxPro 9.0 Service Pack 2 cuando se instala en Microsoft Windows 2000 Service Pack 4 (KB971105) | No aplicable | Microsoft Visual FoxPro 9.0 Service Pack 2 cuando se instala en Microsoft Windows 2000 Service Pack 4 (KB971105) (Sin clasificación de gravedad[2]) |
| Visor de informes de Microsoft | ||
| Identificador del boletín | MS09-061 | MS09-062 |
| Clasificación de gravedad agregada | None | Crítica |
| Paquete redistribuible de Microsoft Report Viewer 2005 Service Pack 1 | No aplicable | Microsoft Report Viewer 2005 Service Pack 1 Redistributable Package (KB971117) (Crítico) |
| Paquete redistribuible de Microsoft Report Viewer 2008 | No aplicable | Paquete redistribuible de Microsoft Report Viewer 2008 (KB971118) (crítico) |
| Microsoft Report Viewer 2008 Redistributable Package Service Pack 1 | No aplicable | Microsoft Report Viewer 2008 Redistributable Package Service Pack 1 (KB971119) (Crítico) |
| Sdk de plataforma de Microsoft Redistributable: GDI+ | No aplicable | SDK de microsoft Platform Redistributable: GDI+ (KB975337) (Sin clasificación de gravedad[2]) |
Notas de MS09-061
[1]Esta descarga actualiza Microsoft Silverlight 2 a Microsoft Silverlight 3, que aborda la vulnerabilidad descrita en el boletín.
**Instalación de Server Core no afectada. Las vulnerabilidades abordadas por esta actualización no afectan a las ediciones admitidas de Windows Server 2008 o Windows Server 2008 R2, como se indica, cuando se instala mediante la opción de instalación Server Core. Para obtener más información sobre esta opción de instalación, consulte los artículos de MSDN, Server Core y Server Core para Windows Server 2008 R2. Tenga en cuenta que la opción de instalación Server Core no se aplica a determinadas ediciones de Windows Server 2008 y Windows Server 2008 R2; consulte Comparación de las opciones de instalación de Server Core.
Consulte también otras categorías de software en esta sección, Aplicaciones afectadas y Ubicaciones de descarga, para obtener más archivos de actualización en el mismo identificador de boletín. Este boletín abarca más de una categoría de software.
Notas de MS09-062
[2]Las clasificaciones de gravedad no se aplican a esta actualización porque Microsoft no ha identificado ningún vector de ataque relacionado con las vulnerabilidades descritas en este boletín específico de este software. Sin embargo, esta actualización de seguridad se ofrece a los desarrolladores que usan este software para que puedan emitir su propia versión actualizada de sus aplicaciones.
Consulte también otras categorías de software en esta sección, Aplicaciones afectadas y Ubicaciones de descarga, para obtener más archivos de actualización en el mismo identificador de boletín. Este boletín abarca más de una categoría de software.
Software de seguridad de Microsoft
| Microsoft Forefront Security | |
| Identificador del boletín | MS09-062 |
| Clasificación de gravedad agregada | Importante |
| Microsoft Forefront Client Security 1.0 | Microsoft Forefront Client Security 1.0 cuando se instala en Microsoft Windows 2000 Service Pack 4 (KB975962) (importante) |
Nota para MS09-062
Consulte también otras categorías de software en esta sección, Aplicaciones afectadas y Ubicaciones de descarga, para obtener más archivos de actualización en el mismo identificador de boletín. Este boletín abarca más de una categoría de software.
Herramientas e instrucciones de detección e implementación
Security Central
Administre las actualizaciones de software y seguridad que necesita implementar en los servidores, equipos de escritorio y móviles de su organización. Para obtener más información, consulte el Centro de administración de actualizaciones de TechNet. TechNet Security Center proporciona información adicional sobre la seguridad en los productos de Microsoft. Los consumidores pueden visitar Security At Home, donde esta información también está disponible haciendo clic en "Latest Security Novedades".
Las actualizaciones de seguridad están disponibles en Microsoft Update y Windows Update. Las actualizaciones de seguridad también están disponibles en el Centro de descarga de Microsoft. Puede encontrarlos con más facilidad si realiza una búsqueda de palabra clave para "actualización de seguridad".
Por último, las actualizaciones de seguridad se pueden descargar desde el catálogo de Microsoft Update. El catálogo de Microsoft Update proporciona un catálogo de contenido que se puede buscar disponible a través de Windows Update y Microsoft Update, incluidas las actualizaciones de seguridad, los controladores y service packs. Al buscar con el número de boletín de seguridad (por ejemplo, "MS07-036"), puede agregar todas las actualizaciones aplicables a la cesta (incluidos los distintos idiomas de una actualización) y descargarla en la carpeta de su elección. Para obtener más información sobre el catálogo de Microsoft Update, consulte preguntas más frecuentes sobre el catálogo de Microsoft Update.
Nota A partir del 1 de agosto de 2009, Microsoft descontinuó la compatibilidad con Office Update y la Herramienta de inventario de Office Update. Para seguir recibiendo las actualizaciones más recientes de los productos de Microsoft Office, use Microsoft Update. Para obtener más información, vea Acerca de Microsoft Office Update: Preguntas más frecuentes.
Guía de detección e implementación
Microsoft proporciona instrucciones de detección e implementación para las actualizaciones de seguridad. Esta guía contiene recomendaciones e información que pueden ayudar a los profesionales de TI a comprender cómo usar diversas herramientas para la detección e implementación de actualizaciones de seguridad. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 961747.
Microsoft Baseline Security Analyzer
El Analizador de seguridad de línea de base de Microsoft (MBSA) permite a los administradores examinar los sistemas locales y remotos para que falten actualizaciones de seguridad, así como configuraciones de seguridad comunes. Para obtener más información sobre MBSA, visite Analizador de seguridad de línea base de Microsoft.
Windows Server Update Services
Con Windows Server Update Services (WSUS), los administradores pueden implementar de forma rápida y confiable las últimas actualizaciones críticas y actualizaciones de seguridad para los sistemas operativos Windows 2000 y versiones posteriores, Office XP y versiones posteriores, Exchange Server 2003 y SQL Server 2000 en Windows 2000 y versiones posteriores.
Para obtener más información sobre cómo implementar esta actualización de seguridad con Windows Server Update Services, visite Windows Server Update Services.
Servidor de administración de sistemas
Microsoft Systems Management Server (SMS) ofrece una solución empresarial altamente configurable para administrar las actualizaciones. Mediante SMS, los administradores pueden identificar sistemas basados en Windows que requieren actualizaciones de seguridad y realizar una implementación controlada de estas actualizaciones en toda la empresa con una interrupción mínima a los usuarios finales. La próxima versión de SMS, System Center Configuration Manager 2007, ya está disponible; consulte también System Center Configuration Manager 2007. Para obtener más información sobre cómo los administradores pueden usar SMS 2003 para implementar actualizaciones de seguridad, consulte SMS 2003 Security Patch Management. Los usuarios de SMS 2.0 también pueden usar la Herramienta de inventario de actualizaciones de seguridad (SUIT) para ayudar a implementar actualizaciones de seguridad. Para obtener información sobre SMS, visite Microsoft Systems Management Server.
Nota SMS usa el Analizador de seguridad de línea de base de Microsoft para proporcionar una amplia compatibilidad con la detección e implementación de actualizaciones del boletín de seguridad. Es posible que estas herramientas no detecten algunas actualizaciones de software. Administración istrators pueden usar las funcionalidades de inventario de SMS en estos casos para dirigir las actualizaciones a sistemas específicos. Para obtener más información sobre este procedimiento, vea Deploying Software Novedades Using the SMS Software Distribution Feature. Algunas actualizaciones de seguridad requieren derechos administrativos después de reiniciar el sistema. Administración istrators pueden usar la Herramienta de implementación de derechos elevados (disponible en sms 2003 Administración istration Feature Pack y en sms 2.0 Administración istration Feature Pack) para instalar estas actualizaciones.
Actualizar evaluador de compatibilidad y kit de herramientas de compatibilidad de aplicaciones
Novedades a menudo escribe en los mismos archivos y configuraciones del Registro necesarias para que las aplicaciones se ejecuten. Esto puede desencadenar incompatibilidades y aumentar el tiempo necesario para implementar actualizaciones de seguridad. Puede simplificar las pruebas y validar las actualizaciones de Windows en las aplicaciones instaladas con los componentes del evaluador de compatibilidad de actualizaciones incluidos con Application Compatibility Toolkit.
El Kit de herramientas de compatibilidad de aplicaciones (ACT) contiene las herramientas y documentación necesarias para evaluar y mitigar los problemas de compatibilidad de aplicaciones antes de implementar Microsoft Windows Vista, windows Update, microsoft Security Update o una nueva versión de Windows Internet Explorer en su entorno.
Otra información
Herramienta de eliminación de software malintencionado de Microsoft Windows
Microsoft ha publicado una versión actualizada de la herramienta de eliminación de software malintencionado de Microsoft Windows en Windows Update, Microsoft Update, Windows Server Update Services y el Centro de descarga.
No seguridad, Novedades de alta prioridad en MU, WU y WSUS
Para obtener información sobre las versiones que no son de seguridad en Windows Update y Microsoft Update, consulte:
- Artículo de Microsoft Knowledge Base 894199: Descripción de los cambios de Software Update Services y Windows Server Update Services en el contenido. Incluye todo el contenido de Windows.
- Novedades de meses pasados para Windows Server Update Services. Muestra todas las actualizaciones nuevas, revisadas y releadas de los productos de Microsoft distintos de Microsoft Windows.
Programa microsoft Active Protections (MAPP)
Para mejorar las protecciones de seguridad para los clientes, Microsoft proporciona información sobre vulnerabilidades a los principales proveedores de software de seguridad con antelación de cada versión de actualización de seguridad mensual. Después, los proveedores de software de seguridad pueden usar esta información de vulnerabilidad para proporcionar protecciones actualizadas a los clientes a través de su software de seguridad o dispositivos, como antivirus, sistemas de detección de intrusiones basados en red o sistemas de prevención de intrusiones basados en host. Para determinar si las protecciones activas están disponibles en proveedores de software de seguridad, visite los sitios web de protección activa proporcionados por los asociados del programa, enumerados en Asociados del Programa de Protección Activa de Microsoft (MAPP).
Estrategias de seguridad y comunidad
Estrategias de Update Management
Guía de seguridad para Update Management proporciona información adicional sobre las recomendaciones de procedimientos recomendados de Microsoft para aplicar actualizaciones de seguridad.
Obtención de otros Novedades de seguridad
Novedades para otros problemas de seguridad están disponibles en las siguientes ubicaciones:
- Las actualizaciones de seguridad están disponibles en el Centro de descarga de Microsoft. Puede encontrarlos con más facilidad si realiza una búsqueda de palabra clave para "actualización de seguridad".
- Novedades para plataformas de consumidor están disponibles desde Microsoft Update.
- Puede obtener las actualizaciones de seguridad que se ofrecen este mes en Windows Update, desde el Centro de descarga de archivos de imagen de CD ISO de versiones críticas y de seguridad. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 913086.
Comunidad de seguridad profesional de TI
Aprenda a mejorar la seguridad y optimizar la infraestructura de TI y a participar con otros profesionales de TI en temas de seguridad en la Comunidad de seguridad profesional de TI.
Agradecimientos
Microsoft agradece lo siguiente por trabajar con nosotros para ayudar a proteger a los clientes:
- Matthieu Suiche del Instituto Forense de Países Bajos para informar de un problema descrito en MS09-050
- Ivan Fratric of Zero Day Initiative y Jun Xie de McAfee Avert Labs para informar de un problema descrito en MS09-051
- Vinay Anantharaman de Adobe Systems, Inc. para notificar un problema descrito en MS09-051
- Yamata Li de Palo Alto Networks para notificar un problema descrito en MS09-052
- SkyLined de Google Inc. para informar de un problema descrito en MS09-054
- Mark Dowd of IBM ISS X-Force para notificar un problema descrito en MS09-054
- TippingPoint y la Iniciativa de día cero para notificar un problema descrito en MS09-054
- Sam Thomas de eshu.co.uk, trabajando con TippingPoint y zero Day Initiative, para informar de un problema descrito en MS09-054
- Ian Wright y Jean-Luc Giraud de Citrix para trabajar con nosotros en un problema descrito en MS09-056
- Dan Kaminsky de IOActive para notificar dos problemas descritos en MS09-056
- Yamata Li de Palo Alto Networks para notificar un problema descrito en MS09-057
- Tavis Ormandy y Neel Mehta de Google Inc. para informar de dos problemas descritos en MS09-058
- Equipo de seguridad de NSFocus para notificar un problema descrito en MS09-058
- David Dewey de IBM ISS X-Force para notificar un problema descrito en MS09-060
- Ryan Smith de VeriSign iDefense Labs para notificar dos problemas descritos en MS09-060
- Pavel Minaev para notificar un problema descrito en MS09-061
- Jeraen Frijters de Sumatra para notificar un problema descrito en MS09-061
- Yamata Li de Palo Alto Networks para notificar un problema descrito en MS09-062
- Thomas Garnier de SkyRecon para notificar un problema descrito en MS09-062
- Wushi de VeriSign iDefense Labs para notificar un problema descrito en MS09-062
- Ivan Fratric of Zero Day Initiative para notificar un problema descrito en MS09-062
- Tavis Ormandy de Google Inc. para informar de dos problemas descritos en MS09-062
- Carlo Di Dato (también conocido como shinnai) para notificar un problema descrito en MS09-062
- Marsu Pilami de VeriSign iDefense Labs para notificar un problema descrito en MS09-062
- Carsten H. Eiram de Secunia para notificar un problema descrito en MS09-062
Soporte técnico
- El software afectado enumerado se ha probado para determinar qué versiones se ven afectadas. Otras versiones han pasado su ciclo de vida de soporte técnico. Para determinar el ciclo de vida de soporte técnico de la versión de software, visite Soporte técnico de Microsoft ciclo de vida.
- Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico de Soporte técnico o 1-866-PCSAFETY. No hay ningún cargo por las llamadas de soporte técnico asociadas a las actualizaciones de seguridad. Para obtener más información sobre las opciones de soporte técnico disponibles, consulte Ayuda y soporte técnico de Microsoft.
- Los clientes internacionales pueden recibir soporte técnico de sus subsidiarias locales de Microsoft. No hay ningún cargo por el soporte técnico asociado a las actualizaciones de seguridad. Para obtener más información sobre cómo ponerse en contacto con Microsoft para obtener problemas de soporte técnico, visite Ayuda internacional y soporte técnico.
Declinación de responsabilidades
La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (13 de octubre de 2009): Resumen del boletín publicado.
- V1.1 (14 de octubre de 2009): corrigió el vínculo de descarga de Windows XP x64 Edition Service Pack 2 para MS09-055.
- V1.2 (18 de octubre de 2009): se ha revisado el resumen ejecutivo de MS09-054 para proporcionar dirección a los usuarios de Firefox.
- V2.0 (28 de octubre de 2009): se ha agregado Microsoft Office Visio Viewer 2007, Microsoft Office Visio Viewer 2007 Service Pack 1 y Microsoft Office Visio Viewer 2007 Service Pack 2 como software afectado para MS09-062 y notas agregadas para los clientes de MS09-062 para SQL Server 2005 con una dependencia de SharePoint de Reporting Services.
- V3.0 (2 de noviembre de 2009): revisado para anunciar la disponibilidad de una revisión para MS09-054 para solucionar problemas de compatibilidad de aplicaciones. Los clientes que ya han aplicado esta actualización pueden instalar la revisión del artículo de Microsoft Knowledge Base 976749.
- V3.1 (4 de noviembre de 2009): se quitaron referencias erróneas a la versión original de Microsoft Office Visio Viewer 2007 como software afectado en MS09-060 y MS09-062.
- V4.0 (10 de noviembre de 2009): boletín revisado para comunicar la versión preliminar de la actualización del Administrador de compresión de audio en Microsoft Windows 2000 Service Pack 4 en MS09-051 para corregir un problema de detección. Se trata de un cambio de detección solo; no hubo ningún cambio en los archivos binarios. Los clientes que hayan actualizado correctamente sus sistemas no necesitan volver a instalar esta actualización.
- V4.1 (12 de enero de 2010): se quitó Microsoft Expression Web, Microsoft Expression Web 2, Microsoft Office Groove 2007 y Microsoft Office Groove 2007 Service Pack 1 como software afectado para MS09-062.
- V4.2 (22 de junio de 2010): se quitó .NET Framework 1.1 Service Pack 1 como componente afectado en Windows 7 y Windows Server 2008 R2 para MS09-061.
Compilado en 2014-04-18T13:49:36Z-07:00