Resumen del boletín de seguridad de Microsoft para mayo de 2011

Publicado: 10 de mayo de 2011 | Actualizado: 14 de junio de 2011

Versión: 1.2

En este resumen del boletín se enumeran los boletines de seguridad publicados para mayo de 2011.

Con la publicación de los boletines de seguridad para mayo de 2011, este resumen del boletín reemplaza la notificación de antelación del boletín emitida originalmente el 5 de mayo de 2011. Para obtener más información sobre el servicio de notificación anticipada del boletín, consulte Notificación anticipada del boletín de seguridad de Microsoft.

Para obtener información sobre cómo recibir notificaciones automáticas cada vez que se emiten boletines de seguridad de Microsoft, visite Notificaciones de seguridad técnica de Microsoft.

Microsoft hospeda un webcast para abordar las preguntas de los clientes sobre estos boletines el 11 de mayo de 2011, a las 11:00 AM Pacific Time (EE. UU. y Canadá). Regístrese ahora para el webcast del boletín de seguridad de mayo. Después de esta fecha, este webcast está disponible a petición. Para obtener más información, consulte Resúmenes y webcasts del boletín de seguridad de Microsoft.

Microsoft también proporciona información para ayudar a los clientes a priorizar las actualizaciones de seguridad mensuales con las actualizaciones que no son de seguridad que se publican el mismo día que las actualizaciones de seguridad mensuales. Consulte la sección Otra información.

Información del boletín

Resúmenes ejecutivos

En la tabla siguiente se resumen los boletines de seguridad de este mes en orden de gravedad.

Para obtener más información sobre el software afectado, consulte la sección siguiente, Aplicaciones afectadas y Ubicaciones de descarga.

Identificador de boletín Título del boletín y resumen ejecutivo Clasificación máxima de gravedad y impacto en la vulnerabilidad Requisito de reinicio Software afectado
MS11-035 Vulnerabilidad en WINS podría permitir la ejecución remota de código (2524426) \ \ Esta actualización de seguridad resuelve una vulnerabilidad notificada de forma privada en el servicio de nombres de Internet de Windows (WINS). La vulnerabilidad podría permitir la ejecución remota del código si un usuario recibió un paquete de replicación WINS especialmente diseñado en un sistema afectado que ejecuta el servicio WINS. De forma predeterminada, WINS no está instalado en ningún sistema operativo afectado. Solo los clientes que instalaron manualmente este componente se ven afectados por este problema. Crítico \ Ejecución remota de código Puede requerir reiniciar Microsoft Windows
MS11-036 Vulnerabilidades de Microsoft PowerPoint podrían permitir la ejecución remota de código (2545814) \ \ Esta actualización de seguridad resuelve dos vulnerabilidades notificadas de forma privada en Microsoft PowerPoint. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de PowerPoint especialmente diseñado. Un atacante que aprovechara correctamente cualquiera de estas vulnerabilidades podría obtener los mismos derechos de usuario que el usuario que inició sesión. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos. Instalar y configurar la validación de archivos de Office (OFV) para evitar la apertura de archivos sospechosos bloquea los vectores de ataque para aprovechar las vulnerabilidades descritas en CVE-2011-1269 y CVE-2011-1270. Importante \ Ejecución remota de código Puede requerir reiniciar Microsoft Office

Índice de vulnerabilidades

En la tabla siguiente se proporciona una evaluación de vulnerabilidades de cada una de las vulnerabilidades abordadas este mes. Las vulnerabilidades se muestran para reducir el nivel de evaluación de vulnerabilidades y, a continuación, el identificador cve. Solo se incluyen vulnerabilidades que tengan una clasificación de gravedad de Crítico o Importante en los boletines.

Cómo usar esta tabla?

Use esta tabla para obtener información sobre la probabilidad de que se ejecute el código y las vulnerabilidades de seguridad por denegación de servicio en un plazo de 30 días después de la publicación del boletín de seguridad, para cada una de las actualizaciones de seguridad que necesite instalar. Revise cada una de las evaluaciones siguientes, de acuerdo con su configuración específica, para priorizar la implementación de las actualizaciones de este mes. Para obtener más información sobre lo que significan estas clasificaciones y cómo se determinan, consulte Índice de vulnerabilidades de seguridad de Microsoft.

En las columnas siguientes, "Latest Software Release" hace referencia al software sujeto y "Versiones de software anteriores" hace referencia a todas las versiones anteriores admitidas del software sujeto, como se muestra en las tablas "Software afectado" y "Software no afectado" del boletín.

Identificador de boletín Título de vulnerabilidad ID. de CVE Evaluación de vulnerabilidades de ejecución de código para la versión de software más reciente Evaluación de vulnerabilidades de ejecución de código para versiones de software anteriores Evaluación de vulnerabilidades de seguridad de servicio Notas clave
MS11-036 Vulnerabilidad de RCE de daños en la memoria de presentación CVE-2011-1269 No afectado 1 : es probable que el código de vulnerabilidad de seguridad coherente No aplicable (Ninguna)
MS11-035 Vulnerabilidad de respuesta con error del servicio WINS CVE-2011-1248 2 - Es probable que el código de vulnerabilidad de seguridad incoherente 2 - Es probable que el código de vulnerabilidad de seguridad incoherente Temporales (Ninguna)
MS11-036 Vulnerabilidad de RCE de saturación del búfer de presentación CVE-2011-1270 No afectado 3 - Poco probable que funcione código de vulnerabilidad de seguridad No aplicable (Ninguna)

Ubicaciones de descarga y software afectadas

En las tablas siguientes se enumeran los boletines en orden de categoría y gravedad de software principales.

Cómo usar estas tablas?

Use estas tablas para obtener información sobre las actualizaciones de seguridad que puede que necesite instalar. Debe revisar cada programa de software o componente enumerado para ver si alguna actualización de seguridad pertenece a la instalación. Si aparece un programa de software o un componente, se hipervínculo la actualización de software disponible y también se muestra la clasificación de gravedad de la actualización de software.

Nota Es posible que tenga que instalar varias actualizaciones de seguridad para una sola vulnerabilidad. Revise toda la columna para cada identificador de boletín que aparece para comprobar las actualizaciones que tiene que instalar, en función de los programas o componentes que haya instalado en el sistema.

Sistema operativo Windows y componentes

Windows Server 2003
Identificador del boletín MS11-035
Clasificación de gravedad agregada Crítica
Windows Server 2003 Service Pack 2 Windows Server 2003 Service Pack 2 (crítico)
Windows Server 2003 x64 Edition Service Pack 2 Windows Server 2003 x64 Edition Service Pack 2 (crítico)
Windows Server 2003 con SP2 para sistemas basados en Itanium Windows Server 2003 con SP2 para sistemas basados en Itanium (crítico)
Windows Server 2008
Identificador del boletín MS11-035
Clasificación de gravedad agregada Crítica
Windows Server 2008 para sistemas de 32 bits y Windows Server 2008 para sistemas de 32 bits Service Pack 2 Windows Server 2008 para sistemas de 32 bits y Windows Server 2008 para sistemas de 32 bits Service Pack 2* (crítico)
Windows Server 2008 para sistemas basados en x64 y Windows Server 2008 para sistemas basados en x64 Service Pack 2 Windows Server 2008 para sistemas basados en x64 y Windows Server 2008 para sistemas basados en x64 Service Pack 2* (crítico)
Windows Server 2008 R2
Identificador del boletín MS11-035
Clasificación de gravedad agregada Crítica
Windows Server 2008 R2 para sistemas basados en x64 y Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 Windows Server 2008 R2 para sistemas basados en x64 y Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1* (crítico)

Nota para Windows Server 2008 y Windows Server 2008 R2

*Instalación de Server Core afectada. Esta actualización se aplica, con la misma clasificación de gravedad, a las ediciones compatibles de Windows Server 2008 o Windows Server 2008 R2 tal como se indica, independientemente de si se instalan o no mediante la opción de instalación Server Core. Para obtener más información sobre esta opción de instalación, consulte los artículos de TechNet, Administración de una instalación principal del servidor y mantenimiento de una instalación de Server Core. Tenga en cuenta que la opción de instalación Server Core no se aplica a determinadas ediciones de Windows Server 2008 y Windows Server 2008 R2; consulte Comparación de las opciones de instalación de Server Core.

Microsoft Office Suites and Software

Conjuntos y componentes de Microsoft Office
Identificador del boletín MS11-036
Clasificación de gravedad agregada Importante
Microsoft Office XP Service Pack 3 Microsoft PowerPoint 2002 Service Pack 3 (KB2535802) (importante)
Microsoft Office 2003 Service Pack 3 Microsoft PowerPoint 2003 Service Pack 3 (KB2535812) (importante)
Microsoft Office 2007 Service Pack 2 Microsoft PowerPoint 2007 Service Pack 2 (KB2535818) (importante)
Microsoft Office para Mac
Identificador del boletín MS11-036
Clasificación de gravedad agregada Importante
Microsoft Office 2004 para Mac Microsoft Office 2004 para Mac[1](Importante)
Microsoft Office 2008 para Mac Microsoft Office 2008 para Mac[1](Importante)
Convertidor de formato de archivo Open XML para Mac Convertidor de formato de archivo Open XML para Mac[1](Importante)
Otro software de Office
Identificador del boletín MS11-036
Clasificación de gravedad agregada Importante
Paquete de compatibilidad de Microsoft Office para Formatos de archivo de Word, Excel y PowerPoint 2007 Service Pack 2 Paquete de compatibilidad de Microsoft Office para Word, Excel y PowerPoint 2007 Formatos de archivo Service Pack 2 (KB2540162) (importante)

Nota para MS11-036

[1]Las actualizaciones de seguridad de Microsoft Office 2004 para Mac (KB2555786), Microsoft Office 2008 para Mac (KB2555785) y el Convertidor de formato de archivo Open XML para Mac (KB2555787) están disponibles a partir del 14 de junio de 2011. Consulte el boletín para obtener más información.

Herramientas e instrucciones de detección e implementación

Security Central

Administre las actualizaciones de software y seguridad que necesita implementar en los servidores, equipos de escritorio y móviles de su organización. Para obtener más información, consulte el Centro de administración de actualizaciones de TechNet. TechNet Security Center proporciona información adicional sobre la seguridad en los productos de Microsoft. Los consumidores pueden visitar Security At Home, donde esta información también está disponible haciendo clic en "Latest Security Novedades".

Las actualizaciones de seguridad están disponibles en Microsoft Update y Windows Update. Las actualizaciones de seguridad también están disponibles en el Centro de descarga de Microsoft. Puede encontrarlos con más facilidad si realiza una búsqueda de palabra clave para "actualización de seguridad".

Para los clientes de Microsoft Office para Mac, Microsoft AutoUpdate para Mac puede ayudar a mantener actualizado el software de Microsoft. Para obtener más información sobre el uso de Microsoft AutoUpdate para Mac, consulte Buscar actualizaciones de software automáticamente.

Por último, las actualizaciones de seguridad se pueden descargar desde el catálogo de Microsoft Update. El catálogo de Microsoft Update proporciona un catálogo de contenido que se puede buscar disponible a través de Windows Update y Microsoft Update, incluidas las actualizaciones de seguridad, los controladores y service packs. Al buscar con el número de boletín de seguridad (por ejemplo, "MS07-036"), puede agregar todas las actualizaciones aplicables a la cesta (incluidos los distintos idiomas de una actualización) y descargarla en la carpeta de su elección. Para obtener más información sobre el catálogo de Microsoft Update, consulte preguntas más frecuentes sobre el catálogo de Microsoft Update.

Guía de detección e implementación

Microsoft proporciona instrucciones de detección e implementación para las actualizaciones de seguridad. Esta guía contiene recomendaciones e información que pueden ayudar a los profesionales de TI a comprender cómo usar diversas herramientas para la detección e implementación de actualizaciones de seguridad. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 961747.

Microsoft Baseline Security Analyzer

El Analizador de seguridad de línea de base de Microsoft (MBSA) permite a los administradores examinar los sistemas locales y remotos para que falten actualizaciones de seguridad, así como configuraciones de seguridad comunes. Para obtener más información sobre MBSA, visite Analizador de seguridad de línea base de Microsoft.

Windows Server Update Services

Mediante el uso de Windows Server Update Services (WSUS), los administradores pueden implementar de forma rápida y confiable las actualizaciones críticas y las actualizaciones de seguridad más recientes para los sistemas operativos de Microsoft Windows 2000 y versiones posteriores, Office XP y versiones posteriores, Exchange Server 2003 y SQL Server 2000 en Microsoft Windows 2000 y versiones posteriores.

Para obtener más información sobre cómo implementar esta actualización de seguridad con Windows Server Update Services, visite Windows Server Update Services.

System Center Configuration Manager 2007

Configuration Manager 2007 Software Update Management simplifica la tarea compleja de entregar y administrar actualizaciones en sistemas de TI en toda la empresa. Con Configuration Manager 2007, los administradores de TI pueden entregar actualizaciones de productos de Microsoft a una variedad de dispositivos, como equipos de escritorio, portátiles, servidores y dispositivos móviles.

La evaluación automatizada de vulnerabilidades de Configuration Manager 2007 detecta las necesidades de actualizaciones e informes sobre las acciones recomendadas. La administración de actualizaciones de software de Configuration Manager 2007 se basa en Microsoft Windows Software Update Services (WSUS), una infraestructura de actualización probada en el tiempo que es familiar para los administradores de TI en todo el mundo. Para obtener más información sobre cómo los administradores pueden usar Configuration Manager 2007 para implementar actualizaciones, consulte Administración de actualizaciones de software. Para obtener más información sobre Configuration Manager, visite System Center Configuration Manager.

Systems Management Server 2003

Microsoft Systems Management Server (SMS) ofrece una solución empresarial altamente configurable para administrar las actualizaciones. Mediante SMS, los administradores pueden identificar sistemas basados en Windows que requieren actualizaciones de seguridad y realizar una implementación controlada de estas actualizaciones en toda la empresa con una interrupción mínima a los usuarios finales.

Nota System Management Server 2003 está fuera de soporte estándar a partir del 12 de enero de 2010. Para obtener más información sobre los ciclos de vida de los productos, visite Soporte técnico de Microsoft Ciclo de vida. La próxima versión de SMS, System Center Configuration Manager 2007, ya está disponible; consulte la sección anterior, System Center Configuration Manager 2007.

Para obtener más información sobre cómo los administradores pueden usar SMS 2003 para implementar actualizaciones de seguridad, vea Escenarios y procedimientos para Microsoft Systems Management Server 2003: Distribución de software y administración de revisiones. Para obtener información sobre SMS, visite TechCenter de Microsoft Systems Management Server.

Nota SMS usa el Analizador de seguridad de línea de base de Microsoft para proporcionar una amplia compatibilidad con la detección e implementación de actualizaciones del boletín de seguridad. Es posible que estas herramientas no detecten algunas actualizaciones de software. Administración istrators pueden usar las funcionalidades de inventario de SMS en estos casos para dirigir las actualizaciones a sistemas específicos. Para obtener más información sobre este procedimiento, vea Deploying Software Novedades Using the SMS Software Distribution Feature. Algunas actualizaciones de seguridad requieren derechos administrativos después de reiniciar el sistema. Administración istrators pueden usar la Herramienta de implementación de derechos elevados (disponible en SMS 2003 Administración istration Feature Pack) para instalar estas actualizaciones.

Actualizar evaluador de compatibilidad y kit de herramientas de compatibilidad de aplicaciones

Novedades a menudo escribe en los mismos archivos y configuraciones del Registro necesarias para que las aplicaciones se ejecuten. Esto puede desencadenar incompatibilidades y aumentar el tiempo necesario para implementar actualizaciones de seguridad. Puede simplificar las pruebas y validar las actualizaciones de Windows en las aplicaciones instaladas con los componentes del evaluador de compatibilidad de actualizaciones incluidos con Application Compatibility Toolkit.

El Kit de herramientas de compatibilidad de aplicaciones (ACT) contiene las herramientas y documentación necesarias para evaluar y mitigar los problemas de compatibilidad de aplicaciones antes de implementar Microsoft Windows Vista, windows Update, microsoft Security Update o una nueva versión de Windows Internet Explorer en su entorno.

Otra información

Herramienta de eliminación de software malintencionado de Microsoft Windows

Microsoft ha publicado una versión actualizada de la herramienta de eliminación de software malintencionado de Microsoft Windows en Windows Update, Microsoft Update, Windows Server Update Services y el Centro de descarga.

Novedades que no son de seguridad en MU, WU y WSUS

Para obtener información sobre las versiones que no son de seguridad en Windows Update y Microsoft Update, consulte:

Programa microsoft Active Protections (MAPP)

Para mejorar las protecciones de seguridad para los clientes, Microsoft proporciona información sobre vulnerabilidades a los principales proveedores de software de seguridad con antelación de cada versión de actualización de seguridad mensual. Después, los proveedores de software de seguridad pueden usar esta información de vulnerabilidad para proporcionar protecciones actualizadas a los clientes a través de su software de seguridad o dispositivos, como antivirus, sistemas de detección de intrusiones basados en red o sistemas de prevención de intrusiones basados en host. Para determinar si las protecciones activas están disponibles en proveedores de software de seguridad, visite los sitios web de protección activa proporcionados por los asociados del programa, enumerados en Asociados del Programa de Protección Activa de Microsoft (MAPP).

Estrategias de seguridad y comunidad

Estrategias de Update Management

Guía de seguridad para Update Management proporciona información adicional sobre las recomendaciones de procedimientos recomendados de Microsoft para aplicar actualizaciones de seguridad.

Obtención de otros Novedades de seguridad

Novedades para otros problemas de seguridad están disponibles en las siguientes ubicaciones:

  • Las actualizaciones de seguridad están disponibles en el Centro de descarga de Microsoft. Puede encontrarlos con más facilidad si realiza una búsqueda de palabra clave para "actualización de seguridad".
  • Novedades para plataformas de consumidor están disponibles desde Microsoft Update.
  • Puede obtener las actualizaciones de seguridad que se ofrecen este mes en Windows Update, desde el Centro de descarga de archivos de imagen de CD ISO de versiones críticas y de seguridad. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 913086.

Comunidad de seguridad profesional de TI

Aprenda a mejorar la seguridad y optimizar la infraestructura de TI y a participar con otros profesionales de TI en temas de seguridad en la Comunidad de seguridad profesional de TI.

Agradecimientos

Microsoft agradece lo siguiente por trabajar con nosotros para ayudar a proteger a los clientes:

  • Luigi Auriemma, trabajando con la Iniciativa de Día Cero deTippingPoint, para informar de un problema descrito en MS11-035
  • Will Dormann of CERT/CC for working with us on two issues descript in MS11-036

Soporte técnico

  • El software afectado enumerado se ha probado para determinar qué versiones se ven afectadas. Otras versiones han pasado su ciclo de vida de soporte técnico. Para determinar el ciclo de vida de soporte técnico de la versión de software, visite Soporte técnico de Microsoft ciclo de vida.
  • Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico de Soporte técnico o 1-866-PCSAFETY. No hay ningún cargo por las llamadas de soporte técnico asociadas a las actualizaciones de seguridad. Para obtener más información sobre las opciones de soporte técnico disponibles, consulte Ayuda y soporte técnico de Microsoft.
  • Los clientes internacionales pueden recibir soporte técnico de sus subsidiarias locales de Microsoft. No hay ningún cargo por el soporte técnico asociado a las actualizaciones de seguridad. Para obtener más información sobre cómo ponerse en contacto con Microsoft para obtener problemas de soporte técnico, visite Ayuda internacional y soporte técnico.

Declinación de responsabilidades

La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.

Revisiones

  • V1.0 (10 de mayo de 2011): Resumen del boletín publicado.
  • V1.1 (17 de mayo de 2011): para MS11-036, quitó una nota errónea de la tabla Software afectado relativa a las actualizaciones de seguridad KB2535818 y KB2540162 para Microsoft PowerPoint 2007 Service Pack 2.
  • V1.2 (14 de junio de 2011): para MS11-036, ha revisado este resumen del boletín para anunciar que están disponibles las actualizaciones de seguridad de Microsoft Office 2004 para Mac (KB2555786), Microsoft Office 2008 para Mac (KB2555785) y convertidor de formato de archivo Open XML para Mac (KB2555787). Consulte MS11-036 para obtener más información.

Compilado en 2014-04-18T13:49:36Z-07:00