Microsoft ha publicado el boletín de seguridad MS12-006. Para ver el boletín de seguridad completo, visite uno de los siguientes sitios web de Microsoft:
-
Usuarios domésticos:
http://www.microsoft.com/es-es/security/pc-security/bulletins/201201.aspxOmitir los detalles Descargue ahora las actualizaciones para su equipo doméstico o portátil desde el sitio web de Microsoft Update:
http://www.update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=es-es
-
Profesionales de TI:
http://technet.microsoft.com/es-es/security/bulletin/ms12-006
Cómo obtener ayuda y soporte técnico para esta actualización de seguridad
Ayuda para la instalación de actualizaciones: Soporte técnico de Microsoft Update
Soluciones de seguridad para profesionales de TI: Soporte técnico y solución de problemas de TechNet Security
Ayuda para proteger un equipo que ejecuta Windows frente a virus y malware: Centro de seguridad y soluciones para virus
Soporte local según el país: Soporte internacional
INTRODUCCIÓN
Hay dos soluciones Fix it disponibles.
-
Solución Fix it para Seguridad de la capa de transporte (TLS) 1.1 en Internet Explorer: Esta solución habilita TLS 1.1, a la que no afecta esta vulnerabilidad, en Windows Internet Explorer. La mayoría de usuarios normales tendrá que instalar esta solución Fix it.
-
Solución Fix it para TLS 1.1 en servidores basados en Windows: Esta solución habilita TLS 1.1, a la que no afecta esta vulnerabilidad.
Las soluciones Fix it que se describen en esta sección no pretenden sustituir a ninguna actualización de seguridad. Se recomienda que instale siempre las actualizaciones de seguridad más recientes. Sin embargo, le ofrecemos las soluciones Fix it como soluciones alternativas para algunos escenarios.
Para obtener más información acerca de estas soluciones, consulte el boletín de seguridad MS12-006:
http://technet.microsoft.com/es-es/security/bulletin/ms12-006 El boletín proporciona más información acerca del problema e incluye lo siguiente:
-
Los escenarios en los que se podría aplicar o deshabilitar la solución
-
Factores atenuantes
-
Soluciones provisionales
-
Preguntas más frecuentes
En concreto, para ver esta información, busque la sección Información de vulnerabilidad y, a continuación, expanda el párrafo Soluciones en el párrafo Vulnerabilidad de protocolos SSL y TLS - CVE-2011-3389.
Solución Fix it para TLS 1.1 en Internet Explorer
Para habilitar o deshabilitar esta solución Fix it, haga clic en el botón Fix it o el vínculo bajo el encabezado Habilitar o Deshabilitar. Haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y, a continuación, siga los pasos del Asistente Fix it.
Habilitar |
Deshabilitar |
---|---|
Notas
-
Estos asistentes podrían estar sólo en inglés. Sin embargo, las soluciones automáticas también funcionan con otras versiones de idioma de Windows.
-
Si no está utilizando el equipo que tiene el problema, puede guardar la solución automática en una unidad flash o en un CD para ejecutarla posteriormente en el equipo que tenga el problema.
Solución Fix it para TLS 1.1 en servidores basados en Windows
Para habilitar o deshabilitar esta solución Fix it, haga clic en el botón Fix it o el vínculo bajo el encabezado Habilitar o Deshabilitar. Haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y, a continuación, siga los pasos del Asistente Fix it.
Habilitar |
Deshabilitar |
---|---|
Notas
-
Estos asistentes podrían estar solo en inglés. Sin embargo, las soluciones automáticas también funcionan con otras versiones de idioma de Windows.
-
Si no está utilizando el equipo que tiene el problema, puede guardar la solución automática en una unidad flash o en un CD para ejecutarla posteriormente en el equipo que tenga el problema.
Solucionarlo en mi lugar
Problemas conocidos de esta actualización de seguridad
Después de instalar esta actualización de seguridad, es posible que experimente errores de autenticación o pérdidas de conectividad con algunos servidores HTTPS. Este problema se produce porque esta actualización de seguridad cambia la forma en que los registros se envían a los servidores HTTPS.
Para deshabilitar o volver a habilitar temporalmente esta actualización de seguridad, haga clic en el botón Fix it o en el vínculo que se muestra bajo el encabezado Deshabilitar la actualización de seguridad o Volver a habilitar la actualización de seguridad. Haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y, a continuación, siga los pasos del Asistente Fix it.
Deshabilitar la actualización de seguridad |
Volver a habilitar la actualización de seguridad |
---|---|
Notas
-
Estos asistentes podrían estar solo en inglés. Sin embargo, las soluciones automáticas también funcionan con otras versiones de idioma de Windows.
-
Si no está utilizando el equipo que tiene el problema, puede guardar la solución automática en una unidad flash o en un CD para ejecutarla posteriormente en el equipo que tenga el problema.
La tabla siguiente muestra los valores que aplican estas soluciones Fix it a la entrada DWORD SendExtraRecord del Registro:
Encabezado |
Valor aplicado a la entrada SendExtraRecord |
---|---|
Deshabilitar la actualización de seguridad |
2 |
Volver a habilitar la actualización de seguridad |
0 |
Nota: la configuración SendExtraRecord se incluirá en las futuras versiones de Windows.
Problemas conocidos e información adicional acerca de esta actualización de seguridad
En los siguientes artículos podrá encontrar información adicional sobre esta actualización de seguridad relacionada con las versiones de productos individuales. Los artículos pueden contener información sobre problemas conocidos. Si es así, el problema conocido se mostrará debajo de cada vínculo de artículo.
Información de Registro
No recomendado No recomendamos que utilice el siguiente procedimiento para deshabilitar la actualización de seguridad. Sin embargo, ofrecemos este procedimiento para aquellas situaciones en las que esté utilizando aplicaciones incompatibles con esta actualización de seguridad, lo que habilitará los registros de división de SSL en todas las aplicaciones.
Importante Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. Sin embargo, la modificación incorrecta del Registro puede producir graves problemas. Por tanto, asegúrese de seguir estos pasos cuidadosamente. Para obtener mayor protección, realice una copia de seguridad del Registro antes de modificarlo. De esta manera, puede restaurar el Registro si se produce algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad del Registro y restaurarlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows
De forma predeterminada, esta actualización de seguridad establece el modo de participación a nivel de SChannel, debido a problemas de compatibilidad de aplicaciones. Para habilitar esta actualización de seguridad para todas las aplicaciones del sistema, debe agregar un valor DWORD llamado SendExtraRecord que tenga un valor de 2 a la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL Para agregar esta entrada SChannel del Registro, siga estos pasos:
-
Haga clic en Inicio y en Ejecutar, escriba regedit en el cuadro Abrir y haga clic en Aceptar.
-
Busque la siguiente subclave del Registro y haga clic en ella:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
-
En el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.
-
Escriba SendExtraRecord como nombre del valor DWORD y, a continuación, presione Entrar.
-
Haga clic con el botón secundario en SendExtraRecord y después haga clic en Modificar.
-
En el cuadro Información del valor, escriba 2 para deshabilitar el registro de división en SChannel y, a continuación, haga clic en Aceptar.
-
Cierre el Editor del Registro.
Esta entrada del Registro puede tener tres valores, y cada uno de ellos proporciona diferentes modos de funcionamiento:
Valor de la clave del Registro |
Descripción |
---|---|
0 |
De forma predeterminada, SChannel se incluye en "Modo de participación". Esto significa que esta actualización de seguridad funcionará con todos los llamadores que envíen el marcador Secure a SChannel. El paquete de seguridad no creará la entrada del Registro "SendExtraRecord" de SChannel. Por tanto, si no hay entradas del Registro de SChannel, el sistema estará ejecutando este modo. Si alguien crea esta clave del Registro y establece el valor en 0, SChannel se ejecutará de nuevo en este modo. 2638806 MS12-006: Descripción de la actualización de seguridad para Winhttp en Windows Server 2003 y Windows XP Professional x64 Edition: 10 de enero de 2012 |
1 |
Si establece el valor en 1, estará "habilitado para todos". Esto significa que los llamadores no tienen que enviar el indicador y SChannel dividirá todos los registros SSL. Con este conjunto de valores, las aplicaciones no tendrán que realizar ningún cambio. Aquellos usuarios que estén muy preocupados por la seguridad del sistema pueden ayudar a asegurarlo habilitando esta clave del Registro. |
2 |
Si establece el valor en 1, estará "deshabilitado para todos". Esto significa que SChannel no dividirá los registros de las llamadas de cifrado que realice la aplicación. Este modo no respeta el marcador Secure que envía una aplicación. |
Según las pruebas internas que hemos realizado, hemos detectado que en realidad no puede establecer el valor del Registro en 1 porque puede resultar perjudicial en muchos casos en una empresa. Por tanto, no recomendamos su uso.
Problemas conocidos con la habilitación de la entrada del Registro SendExtraRecord
-
Al establecer el valor del Registro SendExtraRecord en 1, se fuerza la la división de registros en todas las llamadas para cifrar los datos de SChannel. Esto ocurre independientemente de si el llamador envía el marcador Secure durante el inicio de sesión.
-
Muchas de las aplicaciones que utilizan SChannel están escritas, por tanto el receptor asume que los datos de la aplicación se empaquetarán en un solo paquete. Esto ocurre aunque la aplicación llame a SChannel para el descifrado. Las aplicaciones ignoran el marcador que SChannel establece. El marcador indica a la aplicación que hay más datos que el receptor debe descifrar y recoger. Este método no sigue el método recomendado por MSDN acerca del uso de SChannel. Como la actualización de seguridad fuerza la división de registro, esto daña el funcionamiento de dichas aplicaciones.
-
Entre las aplicaciones cuyo funcionamiento resulta dañado se encuentran los productos de Microsoft y los componentes de caja. A continuación presentamos ejemplos de situaciones que pueden funcionar mal cuando el valor del Registro SendExtraRecord se establece en 1:
-
-
Todos los productos SQL y las aplicaciones basadas en SQL.
-
Servidores de Terminal Server que tienen activada la autenticación de nivel de red (NLA). De forma predeterminada, NLA está habilitada en Windows Vista y versiones posteriores de Windows.
-
Algunos casos de de enrutamiento servicios de acceso remoto (RRAS).
-
Al establecer el valor del Registro SendExtraRecord en 1, se fuerza la división de registros para todas las aplicaciones que utilizan SSL/TLS de Windows. Sin embargo, es probable que esta configuración tenga problemas de compatibilidad con algunas aplicaciones. Por tanto, recomendamos que los clientes configuren TLS 1.1 y TLS 1.2 en lugar de utilizar este valor del Registro. TLS 1.1 y TLS 1.2 no resultan afectados por este problema.
Si un usuario pretende utilizar esta configuración del Registro, le recomendamos que realice pruebas exhaustivas de compatibilidad con las aplicaciones antes de implementarla. Se sabe que entre los productos comunes afectados por esta configuración se encuentran los productos de Microsoft SQL, el servidor de Windows Terminal Server y el Servidor de acceso remoto de Windows.
P:¿Qué puede hacer Microsoft para ayudarme a solucionar el problema de mi aplicación del servidor?
R: Compruebe que la aplicación puede manipular la fragmentación de los registros de aplicación SSL/TLS, tal como se describe en las siguientes RFC: