Iniciar sesión con Microsoft
Iniciar sesión o crear una cuenta
Hola:
Seleccione una cuenta diferente.
Tiene varias cuentas
Elija la cuenta con la que desea iniciar sesión.

Microsoft ha publicado el boletín de seguridad MS12-006. Para ver el boletín de seguridad completo, visite uno de los siguientes sitios web de Microsoft:

Cómo obtener ayuda y soporte técnico para esta actualización de seguridad

Ayuda para la instalación de actualizaciones: Soporte técnico de Microsoft Update

Soluciones de seguridad para profesionales de TI: Soporte técnico y solución de problemas de TechNet Security

Ayuda para proteger un equipo que ejecuta Windows frente a virus y malware: Centro de seguridad y soluciones para virus

Soporte local según el país: Soporte internacional

INTRODUCCIÓN

Hay dos soluciones Fix it disponibles.

  • Solución Fix it para Seguridad de la capa de transporte (TLS) 1.1 en Internet Explorer: Esta solución habilita TLS 1.1, a la que no afecta esta vulnerabilidad, en Windows Internet Explorer. La mayoría de usuarios normales tendrá que instalar esta solución Fix it.

  • Solución Fix it para TLS 1.1 en servidores basados en Windows: Esta solución habilita TLS 1.1, a la que no afecta esta vulnerabilidad.

Las soluciones Fix it que se describen en esta sección no pretenden sustituir a ninguna actualización de seguridad. Se recomienda que instale siempre las actualizaciones de seguridad más recientes. Sin embargo, le ofrecemos las soluciones Fix it como soluciones alternativas para algunos escenarios.

Para obtener más información acerca de estas soluciones, consulte el boletín de seguridad MS12-006:

http://technet.microsoft.com/es-es/security/bulletin/ms12-006 El boletín proporciona más información acerca del problema e incluye lo siguiente:

  • Los escenarios en los que se podría aplicar o deshabilitar la solución

  • Factores atenuantes

  • Soluciones provisionales

  • Preguntas más frecuentes

En concreto, para ver esta información, busque la sección Información de vulnerabilidad y, a continuación, expanda el párrafo Soluciones en el párrafo Vulnerabilidad de protocolos SSL y TLS - CVE-2011-3389.

Solución Fix it para TLS 1.1 en Internet Explorer

Para habilitar o deshabilitar esta solución Fix it, haga clic en el botón Fix it o el vínculo bajo el encabezado Habilitar o Deshabilitar. Haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y, a continuación, siga los pasos del Asistente Fix it.

Habilitar

Deshabilitar

Notas

  • Estos asistentes podrían estar sólo en inglés. Sin embargo, las soluciones automáticas también funcionan con otras versiones de idioma de Windows.

  • Si no está utilizando el equipo que tiene el problema, puede guardar la solución automática en una unidad flash o en un CD para ejecutarla posteriormente en el equipo que tenga el problema.

Solución Fix it para TLS 1.1 en servidores basados en Windows

Para habilitar o deshabilitar esta solución Fix it, haga clic en el botón Fix it o el vínculo bajo el encabezado Habilitar o Deshabilitar. Haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y, a continuación, siga los pasos del Asistente Fix it.

Habilitar

Deshabilitar

Notas

  • Estos asistentes podrían estar solo en inglés. Sin embargo, las soluciones automáticas también funcionan con otras versiones de idioma de Windows.

  • Si no está utilizando el equipo que tiene el problema, puede guardar la solución automática en una unidad flash o en un CD para ejecutarla posteriormente en el equipo que tenga el problema.

Solucionarlo en mi lugar

Problemas conocidos de esta actualización de seguridad

Después de instalar esta actualización de seguridad, es posible que experimente errores de autenticación o pérdidas de conectividad con algunos servidores HTTPS. Este problema se produce porque esta actualización de seguridad cambia la forma en que los registros se envían a los servidores HTTPS.

Para deshabilitar o volver a habilitar temporalmente esta actualización de seguridad, haga clic en el botón Fix it o en el vínculo que se muestra bajo el encabezado Deshabilitar la actualización de seguridad o Volver a habilitar la actualización de seguridad. Haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y, a continuación, siga los pasos del Asistente Fix it.

Deshabilitar la actualización de seguridad

Volver a habilitar la actualización de seguridad

Notas

  • Estos asistentes podrían estar solo en inglés. Sin embargo, las soluciones automáticas también funcionan con otras versiones de idioma de Windows.

  • Si no está utilizando el equipo que tiene el problema, puede guardar la solución automática en una unidad flash o en un CD para ejecutarla posteriormente en el equipo que tenga el problema.

La tabla siguiente muestra los valores que aplican estas soluciones Fix it a la entrada DWORD SendExtraRecord del Registro:

Encabezado

Valor aplicado a la entrada SendExtraRecord

Deshabilitar la actualización de seguridad

2

Volver a habilitar la actualización de seguridad

0

Nota: la configuración SendExtraRecord se incluirá en las futuras versiones de Windows.

Problemas conocidos e información adicional acerca de esta actualización de seguridad

En los siguientes artículos podrá encontrar información adicional sobre esta actualización de seguridad relacionada con las versiones de productos individuales. Los artículos pueden contener información sobre problemas conocidos. Si es así, el problema conocido se mostrará debajo de cada vínculo de artículo.

  • 2585542 MS12-006: Descripción de la actualización de seguridad para Webio, Winhttp y SChannel en Windows: 10 de enero de 2012

  • 2638806  MS12-006: Descripción de la actualización de seguridad para Winhttp en Windows Server 2003 y Windows XP Professional x64 Edition: 10 de enero de 2012

Información de Registro

No recomendado No recomendamos que utilice el siguiente procedimiento para deshabilitar la actualización de seguridad. Sin embargo, ofrecemos este procedimiento para aquellas situaciones en las que esté utilizando aplicaciones incompatibles con esta actualización de seguridad, lo que habilitará los registros de división de SSL en todas las aplicaciones.

Importante Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. Sin embargo, la modificación incorrecta del Registro puede producir graves problemas. Por tanto, asegúrese de seguir estos pasos cuidadosamente. Para obtener mayor protección, realice una copia de seguridad del Registro antes de modificarlo. De esta manera, puede restaurar el Registro si se produce algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad del Registro y restaurarlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

322756Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows

De forma predeterminada, esta actualización de seguridad establece el modo de participación a nivel de SChannel, debido a problemas de compatibilidad de aplicaciones. Para habilitar esta actualización de seguridad para todas las aplicaciones del sistema, debe agregar un valor DWORD llamado SendExtraRecord que tenga un valor de 2 a la siguiente subclave del Registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL Para agregar esta entrada SChannel del Registro, siga estos pasos:

  1. Haga clic en Inicio y en Ejecutar, escriba regedit en el cuadro Abrir y haga clic en Aceptar.

  2. Busque la siguiente subclave del Registro y haga clic en ella:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. En el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.

  4. Escriba SendExtraRecord como nombre del valor DWORD y, a continuación, presione Entrar.

  5. Haga clic con el botón secundario en SendExtraRecord y después haga clic en Modificar.

  6. En el cuadro Información del valor, escriba 2 para deshabilitar el registro de división en SChannel y, a continuación, haga clic en Aceptar.

  7. Cierre el Editor del Registro.

Esta entrada del Registro puede tener tres valores, y cada uno de ellos proporciona diferentes modos de funcionamiento:

Valor de la clave del Registro

Descripción

0

De forma predeterminada, SChannel se incluye en "Modo de participación". Esto significa que esta actualización de seguridad funcionará con todos los llamadores que envíen el marcador Secure a SChannel. El paquete de seguridad no creará la entrada del Registro "SendExtraRecord" de SChannel. Por tanto, si no hay entradas del Registro de SChannel, el sistema estará ejecutando este modo. Si alguien crea esta clave del Registro y establece el valor en 0, SChannel se ejecutará de nuevo en este modo.

Esta configuración tiene el mismo efecto que no crear ninguna entrada del Registro. Las aplicaciones que envían el marcador Secure a SChannel durante el inicio de sesión ejercerán solo la ruta de acceso fija de código seguro. En lo que respecta a las demás aplicaciones, no habrá ningún cambio en el comportamiento de SChannel.

Esta actualización de seguridad corrige también las capas de la aplicación implicadas en la exploración web que utilizan Internet Explorer para enviar el marcador Secure para ayudar a asegurar estos casos en que se utiliza el explorador.

Nota: en Windows Server 2003, debe instalarse la actualización de seguridad 2638806 para ayudar a proteger las aplicaciones de cliente HTTP que utilizan las API WinHTTP. Para obtener más información al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

2638806  MS12-006: Descripción de la actualización de seguridad para Winhttp en Windows Server 2003 y Windows XP Professional x64 Edition: 10 de enero de 2012

1

Si establece el valor en 1, estará "habilitado para todos". Esto significa que los llamadores no tienen que enviar el indicador y SChannel dividirá todos los registros SSL. Con este conjunto de valores, las aplicaciones no tendrán que realizar ningún cambio. Aquellos usuarios que estén muy preocupados por la seguridad del sistema pueden ayudar a asegurarlo habilitando esta clave del Registro.

2

Si establece el valor en 1, estará "deshabilitado para todos". Esto significa que SChannel no dividirá los registros de las llamadas de cifrado que realice la aplicación. Este modo no respeta el marcador Secure que envía una aplicación.

Según las pruebas internas que hemos realizado, hemos detectado que en realidad no puede establecer el valor del Registro en 1 porque puede resultar perjudicial en muchos casos en una empresa. Por tanto, no recomendamos su uso.

Problemas conocidos con la habilitación de la entrada del Registro SendExtraRecord

  • Al establecer el valor del Registro SendExtraRecord en 1, se fuerza la la división de registros en todas las llamadas para cifrar los datos de SChannel. Esto ocurre independientemente de si el llamador envía el marcador Secure durante el inicio de sesión.

  • Muchas de las aplicaciones que utilizan SChannel están escritas, por tanto el receptor asume que los datos de la aplicación se empaquetarán en un solo paquete. Esto ocurre aunque la aplicación llame a SChannel para el descifrado. Las aplicaciones ignoran el marcador que SChannel establece. El marcador indica a la aplicación que hay más datos que el receptor debe descifrar y recoger. Este método no sigue el método recomendado por MSDN acerca del uso de SChannel. Como la actualización de seguridad fuerza la división de registro, esto daña el funcionamiento de dichas aplicaciones.

  • Entre las aplicaciones cuyo funcionamiento resulta dañado se encuentran los productos de Microsoft y los componentes de caja. A continuación presentamos ejemplos de situaciones que pueden funcionar mal cuando el valor del Registro SendExtraRecord se establece en 1:

    • Todos los productos SQL y las aplicaciones basadas en SQL.

    • Servidores de Terminal Server que tienen activada la autenticación de nivel de red (NLA). De forma predeterminada, NLA está habilitada en Windows Vista y versiones posteriores de Windows.

    • Algunos casos de de enrutamiento servicios de acceso remoto (RRAS).

Al establecer el valor del Registro SendExtraRecord en 1, se fuerza la división de registros para todas las aplicaciones que utilizan SSL/TLS de Windows. Sin embargo, es probable que esta configuración tenga problemas de compatibilidad con algunas aplicaciones. Por tanto, recomendamos que los clientes configuren TLS 1.1 y TLS 1.2 en lugar de utilizar este valor del Registro. TLS 1.1 y TLS 1.2 no resultan afectados por este problema.

Si un usuario pretende utilizar esta configuración del Registro, le recomendamos que realice pruebas exhaustivas de compatibilidad con las aplicaciones antes de implementarla. Se sabe que entre los productos comunes afectados por esta configuración se encuentran los productos de Microsoft SQL, el servidor de Windows Terminal Server y el Servidor de acceso remoto de Windows.

P:¿Qué puede hacer Microsoft para ayudarme a solucionar el problema de mi aplicación del servidor?
R: Compruebe que la aplicación puede manipular la fragmentación de los registros de aplicación SSL/TLS, tal como se describe en las siguientes RFC:

P+F

¿Necesita más ayuda?

¿Quiere más opciones?

Descubrir Comunidad

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción a Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.

Pregunte en Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a su experiencia?
Si presiona Enviar, sus comentarios se usarán para mejorar los productos y servicios de Microsoft. El administrador de TI podrá recopilar estos datos. Declaración de privacidad.

¡Gracias por sus comentarios!

×