Información general
Resumen ejecutivo
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en Microsoft XML Core Services. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. El atacante no podría obligar a los usuarios a visitar dicho sitio web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
Esta actualización de seguridad se considera crítica para Microsoft XML Core Services 3.0, 4.0 y 6.0 en todas las ediciones compatibles de Windows XP, Windows Vista y Windows 7, y se considera moderada en todas las ediciones compatibles de Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2; también se considera crítica para todas las ediciones compatibles de Microsoft XML Core Services 5.0 para todas las ediciones compatibles de Microsoft Office 2003, Microsoft Office 2007, Microsoft Office Word Viewer, Microsoft Office Compatibility Pack, Microsoft Expression Web, Microsoft Office SharePoint Server 2007 y Microsoft Groove Server 2007. Para obtener más información, vea la subsección Software afectado y no afectado, en esta sección.
La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que MSXML inicializa los objetos en memoria antes de su uso. Para obtener más información acerca de la vulnerabilidad, consulte la subsección Preguntas más frecuentes (P+F) de la entrada de vulnerabilidad específica en la sección siguiente, Información sobre la vulnerabilidad.
Esta actualización de seguridad también corrige la vulnerabilidad que se describió por primera vez en el documento informativo sobre seguridad de Microsoft 2719615.
Recomendación. La mayoría de los clientes tienen habilitada la actualización automática y no deben realizar ninguna acción porque esta actualización de seguridad se descargará e instalará automáticamente. Los clientes que no han habilitado la actualización automática deben buscar las actualizaciones e instalar esta actualización manualmente. Para obtener información sobre las opciones de configuración específicas de la actualización automática, vea el artículo 294871 de Microsoft Knowledge Base.
Para administradores e instalaciones empresariales, o usuarios finales que deseen instalar esta actualización de seguridad manualmente, Microsoft recomienda que los clientes apliquen la actualización inmediatamente con el software de administración de actualizaciones o busquen las actualizaciones con el servicio Microsoft Update.
Vea también la sección Herramientas y consejos para la detección e implementación, más adelante en este boletín.
Problemas conocidos. Ninguna
Fuente: http://technet.microsoft.com/es-gt/security/bulletin/ms12-043#section1
Peter Diaz
MCT-MVP-MCITP Lync-MAP 2012 por TechNet España