MS12-006: Una vulnerabilidad en SSL/TLS podría permitir la revelación de información: 10 de enero de 2012

Seleccione idioma Seleccione idioma
Id. de artículo: 2643584 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

Microsoft ha publicado el boletín de seguridad MS12-006. Para ver el boletín de seguridad completo, visite uno de los siguientes sitios web de Microsoft:

Cómo obtener ayuda y soporte técnico para esta actualización de seguridad

Ayuda para la instalación de actualizaciones: Soporte técnico de Microsoft Update

Soluciones de seguridad para profesionales de TI: Soporte técnico y solución de problemas de TechNet Security

Ayuda para proteger un equipo que ejecuta Windows frente a virus y malware: Centro de seguridad y soluciones para virus

Soporte local según el país: Soporte internacional

Solucionarlo en mi lugar

Hay dos soluciones Fix it disponibles.
  • Solución Fix it para Seguridad de la capa de transporte (TLS) 1.1 en Internet Explorer: Esta solución habilita TLS 1.1, a la que no afecta esta vulnerabilidad, en Windows Internet Explorer. La mayoría de usuarios normales tendrá que instalar esta solución Fix it.
  • Solución Fix it para TLS 1.1 en servidores basados en Windows: Esta solución habilita TLS 1.1, a la que no afecta esta vulnerabilidad.
Las soluciones Fix it que se describen en esta sección no pretenden sustituir a ninguna actualización de seguridad. Se recomienda que instale siempre las actualizaciones de seguridad más recientes. Sin embargo, le ofrecemos las soluciones Fix it como soluciones alternativas para algunos escenarios.

Para obtener más información acerca de estas soluciones, consulte el boletín de seguridad MS12-006:
http://technet.microsoft.com/es-es/security/bulletin/ms12-006
El boletín proporciona más información acerca del problema e incluye lo siguiente:
  • Los escenarios en los que se podría aplicar o deshabilitar la solución
  • Factores atenuantes
  • Soluciones provisionales
  • Preguntas más frecuentes
En concreto, para ver esta información, busque la sección Información de vulnerabilidad y, a continuación, expanda el párrafo Soluciones en el párrafo Vulnerabilidad de protocolos SSL y TLS - CVE-2011-3389.

Solución Fix it para TLS 1.1 en Internet Explorer

Para habilitar o deshabilitar esta solución Fix it, haga clic en el botón Fix it o el vínculo bajo el encabezado Habilitar o Deshabilitar. Haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y, a continuación, siga los pasos del Asistente Fix it.
Contraer esta tablaAmpliar esta tabla
HabilitarDeshabilitar
Corregir este problema
Microsoft Fix it 50773
Corregir este problema
Microsoft Fix it 50772

Notas

  • Estos asistentes podrían estar sólo en inglés. Sin embargo, las soluciones automáticas también funcionan con otras versiones de idioma de Windows.
  • Si no está utilizando el equipo que tiene el problema, puede guardar la solución automática en una unidad flash o en un CD para ejecutarla posteriormente en el equipo que tenga el problema.

Solución Fix it para TLS 1.1 en servidores basados en Windows

Para habilitar o deshabilitar esta solución Fix it, haga clic en el botón Fix it o el vínculo bajo el encabezado Habilitar o Deshabilitar. Haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y, a continuación, siga los pasos del Asistente Fix it.
Contraer esta tablaAmpliar esta tabla
HabilitarDeshabilitar
Corregir este problema
Microsoft Fix it 50774
Corregir este problema
Microsoft Fix it 50775

Notas

  • Estos asistentes podrían estar solo en inglés. Sin embargo, las soluciones automáticas también funcionan con otras versiones de idioma de Windows.
  • Si no está utilizando el equipo que tiene el problema, puede guardar la solución automática en una unidad flash o en un CD para ejecutarla posteriormente en el equipo que tenga el problema.

Problemas conocidos de esta actualización de seguridad

Después de instalar esta actualización de seguridad, es posible que experimente errores de autenticación o pérdidas de conectividad con algunos servidores HTTPS. Este problema se produce porque esta actualización de seguridad cambia la forma en que los registros se envían a los servidores HTTPS.

Para deshabilitar o volver a habilitar temporalmente esta actualización de seguridad, haga clic en el botón Fix it o en el vínculo que se muestra bajo el encabezado Deshabilitar la actualización de seguridad o Volver a habilitar la actualización de seguridad. Haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y, a continuación, siga los pasos del Asistente Fix it.
Contraer esta tablaAmpliar esta tabla
Deshabilitar la actualización de seguridad Volver a habilitar la actualización de seguridad
Corregir este problema
Microsoft Fix it 50824
Corregir este problema
Microsoft Fix it 50825
Notas
  • Estos asistentes podrían estar solo en inglés. Sin embargo, las soluciones automáticas también funcionan con otras versiones de idioma de Windows.
  • Si no está utilizando el equipo que tiene el problema, puede guardar la solución automática en una unidad flash o en un CD para ejecutarla posteriormente en el equipo que tenga el problema.
La tabla siguiente muestra los valores que aplican estas soluciones Fix it a la entrada DWORD SendExtraRecord del Registro:
Contraer esta tablaAmpliar esta tabla
Encabezado Valor aplicado a la entrada SendExtraRecord
Deshabilitar la actualización de seguridad 2
Volver a habilitar la actualización de seguridad 0
Nota: la configuración SendExtraRecord se incluirá en las futuras versiones de Windows.

Problemas conocidos e información adicional acerca de esta actualización de seguridad

En los siguientes artículos podrá encontrar información adicional sobre esta actualización de seguridad relacionada con las versiones de productos individuales. Los artículos pueden contener información sobre problemas conocidos. Si es así, el problema conocido se mostrará debajo de cada vínculo de artículo.
  • 2585542 MS12-006: Descripción de la actualización de seguridad para Webio, Winhttp y SChannel en Windows: 10 de enero de 2012
  • 2638806  MS12-006: Descripción de la actualización de seguridad para Winhttp en Windows Server 2003 y Windows XP Professional x64 Edition: 10 de enero de 2012

Información de Registro

No recomendado No recomendamos que utilice el siguiente procedimiento para deshabilitar la actualización de seguridad. Sin embargo, ofrecemos este procedimiento para aquellas situaciones en las que esté utilizando aplicaciones incompatibles con esta actualización de seguridad, lo que habilitará los registros de división de SSL en todas las aplicaciones.

Importante Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. Sin embargo, la modificación incorrecta del Registro puede producir graves problemas. Por tanto, asegúrese de seguir estos pasos cuidadosamente. Para obtener mayor protección, realice una copia de seguridad del Registro antes de modificarlo. De esta manera, puede restaurar el Registro si se produce algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad del Registro y restaurarlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows


De forma predeterminada, esta actualización de seguridad establece el modo de participación a nivel de SChannel, debido a problemas de compatibilidad de aplicaciones. Para habilitar esta actualización de seguridad para todas las aplicaciones del sistema, debe agregar un valor DWORD llamado SendExtraRecord que tenga un valor de 2 a la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Para agregar esta entrada SChannel del Registro, siga estos pasos:
  1. Haga clic en Inicio y en Ejecutar, escriba regedit en el cuadro Abrir y haga clic en Aceptar.
  2. Busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. En el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.
  4. Escriba SendExtraRecord como nombre del valor DWORD y, a continuación, presione Entrar.
  5. Haga clic con el botón secundario en SendExtraRecord y después haga clic en Modificar.
  6. En el cuadro Información del valor, escriba 2 para deshabilitar el registro de división en SChannel y, a continuación, haga clic en Aceptar.
  7. Cierre el Editor del Registro.
Esta entrada del Registro puede tener tres valores, y cada uno de ellos proporciona diferentes modos de funcionamiento:
Contraer esta tablaAmpliar esta tabla
Valor de la clave del Registro Descripción
0De forma predeterminada, SChannel se incluye en "Modo de participación". Esto significa que esta actualización de seguridad funcionará con todos los llamadores que envíen el marcador Secure a SChannel. El paquete de seguridad no creará la entrada del Registro "SendExtraRecord" de SChannel. Por tanto, si no hay entradas del Registro de SChannel, el sistema estará ejecutando este modo. Si alguien crea esta clave del Registro y establece el valor en 0, SChannel se ejecutará de nuevo en este modo.

Esta configuración tiene el mismo efecto que no crear ninguna entrada del Registro. Las aplicaciones que envían el marcador Secure a SChannel durante el inicio de sesión ejercerán solo la ruta de acceso fija de código seguro. En lo que respecta a las demás aplicaciones, no habrá ningún cambio en el comportamiento de SChannel.

Esta actualización de seguridad corrige también las capas de la aplicación implicadas en la exploración web que utilizan Internet Explorer para enviar el marcador Secure para ayudar a asegurar estos casos en que se utiliza el explorador.

Nota: en Windows Server 2003, debe instalarse la actualización de seguridad 2638806 para ayudar a proteger las aplicaciones de cliente HTTP que utilizan las API WinHTTP. Para obtener más información al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
2638806  MS12-006: Descripción de la actualización de seguridad para Winhttp en Windows Server 2003 y Windows XP Professional x64 Edition: 10 de enero de 2012
1 Si establece el valor en 1, estará "habilitado para todos". Esto significa que los llamadores no tienen que enviar el indicador y SChannel dividirá todos los registros SSL. Con este conjunto de valores, las aplicaciones no tendrán que realizar ningún cambio. Aquellos usuarios que estén muy preocupados por la seguridad del sistema pueden ayudar a asegurarlo habilitando esta clave del Registro.
2 Si establece el valor en 1, estará "deshabilitado para todos". Esto significa que SChannel no dividirá los registros de las llamadas de cifrado que realice la aplicación. Este modo no respeta el marcador Secure que envía una aplicación.
Según las pruebas internas que hemos realizado, hemos detectado que en realidad no puede establecer el valor del Registro en 1 porque puede resultar perjudicial en muchos casos en una empresa. Por tanto, no recomendamos su uso.

Problemas conocidos con la habilitación de la entrada del Registro SendExtraRecord

  • Al establecer el valor del Registro SendExtraRecord en 1, se fuerza la la división de registros en todas las llamadas para cifrar los datos de SChannel. Esto ocurre independientemente de si el llamador envía el marcador Secure durante el inicio de sesión.
  • Muchas de las aplicaciones que utilizan SChannel están escritas, por tanto el receptor asume que los datos de la aplicación se empaquetarán en un solo paquete. Esto ocurre aunque la aplicación llame a SChannel para el descifrado. Las aplicaciones ignoran el marcador que SChannel establece. El marcador indica a la aplicación que hay más datos que el receptor debe descifrar y recoger. Este método no sigue el método recomendado por MSDN acerca del uso de SChannel. Como la actualización de seguridad fuerza la división de registro, esto daña el funcionamiento de dichas aplicaciones.
  • Entre las aplicaciones cuyo funcionamiento resulta dañado se encuentran los productos de Microsoft y los componentes de caja. A continuación presentamos ejemplos de situaciones que pueden funcionar mal cuando el valor del Registro SendExtraRecord se establece en 1:
    • Todos los productos SQL y las aplicaciones basadas en SQL.
    • Servidores de Terminal Server que tienen activada la autenticación de nivel de red (NLA). De forma predeterminada, NLA está habilitada en Windows Vista y versiones posteriores de Windows.
    • Algunos casos de de enrutamiento servicios de acceso remoto (RRAS).

Al establecer el valor del Registro SendExtraRecord en 1, se fuerza la división de registros para todas las aplicaciones que utilizan SSL/TLS de Windows. Sin embargo, es probable que esta configuración tenga problemas de compatibilidad con algunas aplicaciones. Por tanto, recomendamos que los clientes configuren TLS 1.1 y TLS 1.2 en lugar de utilizar este valor del Registro. TLS 1.1 y TLS 1.2 no resultan afectados por este problema.

Si un usuario pretende utilizar esta configuración del Registro, le recomendamos que realice pruebas exhaustivas de compatibilidad con las aplicaciones antes de implementarla. Se sabe que entre los productos comunes afectados por esta configuración se encuentran los productos de Microsoft SQL, el servidor de Windows Terminal Server y el Servidor de acceso remoto de Windows.

P+F

P:¿Qué puede hacer Microsoft para ayudarme a solucionar el problema de mi aplicación del servidor?
R: Compruebe que la aplicación puede manipular la fragmentación de los registros de aplicación SSL/TLS, tal como se describe en las siguientes RFC:
Nota: es un artículo de "PUBLICACIÓN RÁPIDA" creado directamente por la organización de soporte técnico de Microsoft. La información aquí contenida se proporciona como está, como respuesta a problemas que han surgido. Como consecuencia de la rapidez con la que lo hemos puesto disponible, los materiales podrían incluir errores tipográficos y pueden ser revisados en cualquier momento sin previo aviso. Vea las Condiciones de uso para otras consideraciones

Propiedades

Id. de artículo: 2643584 - Última revisión: martes, 22 de abril de 2014 - Versión: 5.0
La información de este artículo se refiere a:
  • Windows 7 Service Pack 1 sobre las siguientes plataformas
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1 sobre las siguientes plataformas
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2 sobre las siguientes plataformas
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2 sobre las siguientes plataformas
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Palabras clave: 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew KB2643584

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com