Id. de artículo: 323172 - Última revisión: sábado, 01 de diciembre de 2007 - Versión: 5.2 MSO2-048: Un error en el control de inscripción de certificados puede hacer que se eliminen los certificados digitales
Este artículo se publicó anteriormente con el número E323172 En esta páginaSíntomas
Las versiones de Microsoft Windows enumeradas en la sección "Se aplica a" de este artículo incluyen un control ActiveX conocido como el control de inscripción de certificados. Este control se encuentra en la biblioteca binaria Xenroll.dll. Windows utiliza este control para permitir las inscripciones de certificados basadas en Web y enviar solicitudes de certificados compatibles con PKCS #10. Cuando este control recibe el certificado solicitado, lo almacena en el almacén de certificados local del usuario, que forma parte del perfil de usuario.
El control de inscripción de certificados contiene un error que puede permitir que una página Web, mediante un proceso extremadamente complejo, ejecute el control de manera que elimine los certificados en un sistema de usuario. Un atacante que logre explotar esta vulnerabilidad puede eliminar los certificados raíz de confianza, los certificados de cifrado EFS, los certificados de firma de correo electrónico y otros certificados del equipo y, por lo tanto, impedir que el usuario utilice estas características. Un ataca puede llevarse a cabo en cualquiera de los siguientes escenarios:
Factores atenuantes
Solución
Microsoft ha publicado una actualización que impide la llamada del control con errores desde páginas Web y que instala nuevas versiones del control. La actualización del cliente incluye un cambio en el Registro que deshabilita la versión anterior del control e instala la nueva. Puesto que debe proporcionarse una versión común del control de inscripción de certificados a todos los clientes admitidos, se crea una dependencia de CryptoAPI. El nuevo control de inscripción de certificados depende de la funcionalidad que sólo está disponible con Microsoft Internet Explorer 5.0 o posterior. Por lo tanto, esta actualización no está instalada en equipos que no ejecutan Internet Explorer 5 o posterior. Si no está utilizando Internet Explorer 5 o posterior, recibirá el siguiente mensaje de error:
Esta actualización no se diseñó para su versión de Internet Explorer. Presione Aceptar para salir.
Para obtener más información acerca de cómo resolver esta vulnerabilidad, haga clic en uno de los siguientes vínculos para consultar la sección correspondiente a su sistema operativo.
Windows XP (todas las versiones)Ahora hay disponible una revisión admitida por Microsoft, pero sólo se diseñó para corregir el problema descrito en este artículo. Únicamente debe aplicarse en sistemas que se consideren vulnerables a ataques. Para determinar el grado de vulnerabilidad de un equipo, debe tener en cuenta su accesibilidad física, la conectividad de red y a Internet, y otros factores. Consulte el Boletín de seguridad de Microsoft (http://www.microsoft.com/technet/security/bulletin/MS02-048.asp) asociado como ayuda para determinar el grado de riesgo. Se efectuarán pruebas adicionales de esta revisión. Si su equipo está en riesgo, Microsoft recomienda que aplique la revisión lo antes posible. De lo contrario, espere al siguiente Service Pack de Windows XP que contenga la revisión.Para solucionar este problema inmediatamente, descargue la revisión siguiendo las instrucciones que se describen más adelante en este artículo o póngase en contacto con los Servicios de soporte técnico de Microsoft a fin de obtener la revisión. Para obtener una lista completa de los números de teléfono de los Servicios de soporte técnico de Microsoft, así como información acerca de los costos de soporte técnico, visite el siguiente sitio Web de Microsoft:
Información de descargaEl archivo siguiente se puede descargar desde el Centro de descarga de Microsoft:Windows XP Professional y Windows XP Home Edition:
Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
Información acerca de la instalaciónAntes de que aplique esta actualización, cierre todos los programas, todas las sesiones de Internet Explorer y los servicios Web.Para aplicar esta actualización a un cliente basado en Windows XP, el usuario que inició sesión debe ser un miembro del grupo Usuarios avanzados o del grupo Administradores. Una vez aplicada esta actualización, debe reiniciar el equipo. La actualización admite los siguientes modificadores para la instalación:
Información de archivoLa versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. Las fechas y las horas de estos archivos se muestran según el Horario universal coordinado (UTC). Cuando vea la información de archivo, se convertirá a la hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.Fecha Versión Tamaño Nombre de archivo -------------------------------------------------------- 09-Jul-2002 5.131.3659.0 172.664 Xenroll.dll Windows 2000 (todas las versiones)Ahora hay disponible una revisión admitida por Microsoft, pero sólo se diseñó para corregir el problema descrito en este artículo. Únicamente debe aplicarse en sistemas que se consideren vulnerables a ataques. Para determinar el grado de vulnerabilidad de un equipo, debe tener en cuenta su accesibilidad física, la conectividad de red y a Internet, y otros factores. Consulte el Boletín de seguridad de Microsoft (http://www.microsoft.com/technet/security/bulletin/MS02-048.asp) asociado como ayuda para determinar el grado de riesgo. Se efectuarán pruebas adicionales de esta revisión. Si su equipo está en riesgo, Microsoft recomienda que aplique la revisión lo antes posible. De lo contrario, espere al siguiente Service Pack de Windows 2000 que contenga esta solución.Para solucionar este problema inmediatamente, descargue la revisión siguiendo las instrucciones que se describen más adelante en este artículo o póngase en contacto con los Servicios de soporte técnico de Microsoft a fin de obtener la revisión. Para obtener una lista completa de los números de teléfono de los Servicios de soporte técnico de Microsoft, así como información acerca de los costos de soporte técnico, visite el siguiente sitio Web de Microsoft:
Información de descargaEl archivo siguiente se puede descargar desde el Centro de descarga de Microsoft:
Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
Información acerca de la instalaciónAntes de que aplique esta actualización, cierre todos los programas, todas las sesiones de Internet Explorer y los servicios Web.Para aplicar esta actualización a un cliente basado en Windows 2000, el usuario que inició sesión debe ser un miembro del grupo Usuarios avanzados o del grupo Administradores. Ya no se admiten las descargas del control de inscripción de certificados (Xenroll.dll) a equipos cliente basados en Alpha desde un sistema Windows 2000 que tenga Servicios de Certificate Server instalados. Una vez aplicada esta actualización, debe reiniciar el equipo. La actualización admite los siguientes modificadores para la instalación:
Información de archivoLa versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. Las fechas y las horas de estos archivos se muestran según el Horario universal coordinado (UTC). Cuando vea la información de archivo, se convertirá a la hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.Fecha Versión Tamaño Nombre de archivo ----------------------------------------------------------- 09-Jul-2002 5.131.3659.0 172.664 Xenroll.dll 05-Ago-2002 5.131.2195.5938 48.568 Scrdenrl.dll Windows NT 4.0 (todas las versiones)Ahora hay disponible una revisión admitida por Microsoft, pero sólo se diseñó para corregir el problema descrito en este artículo. Únicamente debe aplicarse en sistemas que se consideren vulnerables a ataques. Para determinar el grado de vulnerabilidad de un equipo, debe tener en cuenta su accesibilidad física, la conectividad de red y a Internet, y otros factores. Consulte el Boletín de seguridad de Microsoft (http://www.microsoft.com/technet/security/bulletin/MS02-048.asp) asociado como ayuda para determinar el grado de riesgo. Se efectuarán pruebas adicionales de esta revisión. Si su equipo está en riesgo, Microsoft recomienda que aplique la revisión lo antes posible.Para solucionar este problema inmediatamente, haga clic en el vínculo de descarga de la revisión, que encontrará más adelante en este artículo, o póngase en contacto con los Servicios de soporte técnico de Microsoft a fin de obtener la revisión. Para obtener una lista completa de los números de teléfono de los Servicios de soporte técnico de Microsoft, así como información acerca de los costos de soporte técnico, visite el siguiente sitio Web de Microsoft:
Información de descargaLos archivos siguientes pueden descargarse del Centro de descarga de Microsoft:Windows NT 4.0:
Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
Información acerca de la instalaciónAntes de que aplique esta actualización, cierre todos los programas, todas las sesiones de Internet Explorer y los servicios Web.Para aplicar esta actualización a un cliente basado en Windows NT 4.0, el usuario que inició sesión debe ser un miembro del grupo Usuarios avanzados o del grupo Administradores. Ya no se admiten las descargas del control de inscripción de certificados (Xenroll.dll) a equipos cliente basados en Alpha desde un sistema Windows NT 4.0 Server que tenga Servicios de Certificate Server instalados. Una vez aplicada esta actualización, debe reiniciar el equipo. La actualización admite los siguientes modificadores para la instalación:
Información de archivoLa versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. Las fechas y las horas de estos archivos se muestran según el Horario universal coordinado (UTC). Cuando vea la información de archivo, se convertirá a la hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.Fecha Versión Tamaño Nombre de archivo -------------------------------------------------------- 09-Jul-2002 5.131.3659.0 172.664 Xenroll.dll Windows Millennium Edition, Windows 98 Segunda edición y Windows 98Ahora hay disponible una revisión admitida por Microsoft, pero sólo se diseñó para corregir el problema descrito en este artículo. Únicamente debe aplicarse en sistemas que se consideren vulnerables a ataques. Para determinar el grado de vulnerabilidad de un equipo, debe tener en cuenta su accesibilidad física, la conectividad de red y a Internet, y otros factores. Consulte el Boletín de seguridad de Microsoft (http://www.microsoft.com/technet/security/bulletin/MS02-048.asp) asociado como ayuda para determinar el grado de riesgo. Se efectuarán pruebas adicionales de esta revisión. Si su equipo está en riesgo, Microsoft recomienda que aplique la revisión lo antes posible.Para solucionar este problema inmediatamente, haga clic en el vínculo de descarga de la revisión, que encontrará más adelante en este artículo, o póngase en contacto con los Servicios de soporte técnico de Microsoft a fin de obtener la revisión. Para obtener una lista completa de los números de teléfono de los Servicios de soporte técnico de Microsoft, así como información acerca de los costos de soporte técnico, visite el siguiente sitio Web de Microsoft:
Información de descargaLos archivos siguientes pueden descargarse del Centro de descarga de Microsoft:Windows Millennium Edition:
Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
Información acerca de la instalaciónAntes de que aplique esta actualización, cierre todos los programas, todas las sesiones de Internet Explorer y los servicios Web.Información de archivoLa versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. Las fechas y las horas de estos archivos se muestran según el Horario universal coordinado (UTC). Cuando vea la información de archivo, se convertirá a la hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.Fecha Versión Tamaño Nombre de archivo -------------------------------------------------------- 09-Jul-2002 5.131.3659.0 172.664 Xenroll.dll Estado
Microsoft ha confirmado que se trata de un problema que puede causar un cierto grado de vulnerabilidad de la seguridad en los productos de Microsoft enumerados al principio de este artículo.
Más informaciónInformación acerca del clienteUna vez aplicada esta actualización en un equipo cliente, el cliente no puede inscribirse con un servidor Web para el que no se aplicó la actualización. Si está utilizando este cliente, es posible que visite páginas Web que dejen de responder, que reciba mensajes de error que informen de que el control ActiveX no pudo descargarse o que la inscripción no se realice correctamente.Cuando un equipo cliente para el que no se aplicó el control actualizado intenta inscribirse con un servidor Web que no se actualizó, el servidor Web descargará el control actualizado en el equipo cliente. IMPORTANTE: incluso si un sitio Web se actualizó y una inscripción cliente se realizó correctamente, debe actualizar el equipo cliente para eliminar esta vulnerabilidad. Los exploradores Netscape no utilizan el control de inscripción de certificados cuando se inscriben con Microsoft Windows Certificate Server; sin embargo, los equipos cliente deben actualizarse para eliminar esta vulnerabilidad. Información del servidorSi trabaja con un sitio Web que utiliza el control de inscripción de certificados, debe aplicar pequeñas revisiones en los programas Web para utilizar el nuevo control. Los servidores basados en Windows NT 4.0 y en Windows 2000 que alojan páginas Web de inscripción en Servicios de Certificate Server deben actualizarse con el nuevo control de inscripción de certificados y el control de inscripción de tarjetas inteligentes. Si una entidad emisora de certificados (CA) también dispone de servicios de inscripción Web instalados en servidores basados en Servicios de Internet Information Server (IIS), también debe aplicar la actualización de servidor a dichos sitios Web. Los sitios Web de terceros que utilicen alguno de estos controles también deben actualizar las páginas Web que utilizan estos controles. El sitio Web debe hacer referencia al nuevo identificador de clase (ID) y a la versión de Xenroll.dll y Scrdenrl.dll:
El control de inscripción de tarjetas inteligentes sólo se utiliza con entidades emisoras de certificados de Windows 2000. Este control no se aplica a Windows NT 4.0, Windows 98, Windows 98 Segunda edición ni a Windows Millennium Edition. Las siguientes páginas Web se actualizaron en una entidad emisora de certificados de Windows 2000:
Descargando control ActiveX
Un control ActiveX de esta página podría no ser seguro al interactuar con otras partes de la página. ¿Desea permitir esta interacción? Sí/No?
Si el servidor Web no aparece en los sitios Web de confianza en Internet Explorer, recibirá el siguiente mensaje de error:
Error al cargar e instalar la versión correcta del control ActiveX. Es posible que no tenga los permisos suficientes. Pida asistencia al administrador del sistema.
328595
(http://support.microsoft.com/kb/328595/
)
Problems Installing Certificate Services After you Apply the Q323172 Patch
Para obtener más información acerca de esta vulnerabilidad, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-048.asp
(http://www.microsoft.com/technet/security/bulletin/MS02-048.asp)
Para obtener información adicional acerca de las revisiones de Windows Millennium Edition, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
295413
(http://support.microsoft.com/kb/295413/
)
General Information About Windows Millennium Edition Hotfixes
Para obtener información adicional acerca de las revisiones de Windows 98 y Windows 98 Segunda edición, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
206071
(http://support.microsoft.com/kb/206071/
)
General Information on Windows 98 and SE Hotfixes
La información de este artículo se refiere a:
| Otros Recursos Otros sitios de soporte
ComunidadesObtener ayuda ahoraSeleccione idioma
|





















Volver al principio
