MS03-022: Una vulnerabilidad en la extensión ISAPI de los servicios de Windows Media podría producir la ejecución de código

Seleccione idioma Seleccione idioma
Id. de artículo: 822343 - Ver los productos a los que se aplica este artículo
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.

Actualización técnica

  • 9 de marzo de 2004: La sección "Información de la instalación" se actualizó para indicar los modificadores que están disponibles para el nuevo lanzamiento de la actualización de seguridad. Después de publicarse esta actualización, Microsoft se dio cuenta de que, en ciertas circunstancias, la actualización original que proporcionaba este boletín no sustituyó al archivo vulnerable de la unidad de disco duro. Una de esas circunstancias era si se quitó Servicios de Windows Media antes de que se aplicara la actualización. Microsoft ha tratado este problema y ha vuelto a publicar la actualización en Windows Update y en el Centro de descarga de Microsoft.
  • 9 de marzo de 2004: Se actualizó la sección "Información de la instalación".
  • 9 de marzo de 2004: Se actualizó la sección "Información de archivo".
  • 26 de junio de 2003: La sección "Requisitos previos" se actualizó para indicar que la revisión puede instalarse en el Service Pack 2, Service Pack 3 o Service Pack 4 de Windows 2000.
  • 26 de junio de 2003: Se actualizó la sección "Información de archivo".
Expandir todo | Contraer todo

En esta página

Síntomas

Los Servicios de Microsoft Windows Media son una característica de Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server y Microsoft Windows 2000 Datacenter Server; estos servicios también están disponibles en una versión que puede descargarse para Microsoft Windows NT 4.0 Server. Los Servicios de Windows Media son compatibles con un método de entrega de contenido multimedia a clientes a través de una red conocida como transmisión multidifusión. En una transmisión multidifusión, el servidor no tiene conexión ni conocimiento de los clientes que pueden estar recibiendo la transmisión de contenido multimedia procedente del servidor.

Para facilitar al servidor el registro de información del cliente, Windows 2000 incluye una capacidad específicamente diseñada para habilitar el registro para las transmisiones multidifusión. Esta capacidad de registro se implementa como una extensión de la Interfaz de programación de aplicaciones de servicios de Internet (ISAPI, Internet Services Application Programming Interface) denominada Nsiislog.dll. Cuando los Servicios de Windows Media se agregan a Windows 2000 mediante la utilidad Agregar o quitar programas, Nsiislog.dll se instala en la carpeta de secuencias de comandos de los Servicios de Internet Information Server (IIS) en el servidor. Una vez instalados los Servicios de Windows Media, IIS carga y utiliza automáticamente Nsiislog.dll.

Existe un error en la manera en que Nsiislog.dll procesa las solicitudes de cliente entrantes. Existe una vulnerabilidad, ya que un atacante puede enviar solicitudes HTTP (es decir, comunicaciones) al servidor y éstas pueden provocar que IIS dé un error o que ejecute código en el sistema del usuario.

De manera predeterminada, los Servicios de Windows Media no están instalados en Windows 2000. Un atacante que intente aprovecharse de esta vulnerabilidad debe saber qué equipos de la red tienen instalados los Servicios de Windows Media y debe enviar una solicitud específica a dicho servidor.

Los Servicios de Windows Media no están disponibles para Windows 2000 Professional.

Solución

Información de la actualización de seguridad

Información de la descarga

El archivo siguiente se puede descargar desde el Centro de descarga de Microsoft:
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete 822343.
Fecha de lanzamiento: 25 de junio de 2003

Para obtener información adicional sobre cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener Archivos de soporte técnico de Microsoft desde los servicios en línea
. Microsoft exploró este archivo en busca de virus con el software de detección de virus más reciente disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.

Requisitos previos



Esta actualización de seguridad requiere el Service Pack 2 (SP2), el Service Pack 3 (SP3) o el Service Pack 4 (SP4) de Windows 2000. Para obtener información adicional acerca de los Service Pack de Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260910 Cómo obtener el Service Pack más reciente para Windows 2000
Nota Los Servicios de Microsoft Windows Media 4.1 se incluyen con el Server Service Pack 2 (SP2) de Windows 2000 y posterior.

Información de la instalación

Esta actualización de seguridad admite los siguientes modificadores para la instalación:
  • /help: mostrar las opciones de la línea de comandos.
  • /quiet: utilizar el modo silencioso (sin intervención del usuario y sin que se muestre).
  • /passive: modo desatendido (sólo la barra de progreso).
  • /uninstall: desinstalar el paquete.
  • /norestart: no reiniciar cuando se completa la instalación.
  • /forcerestart: reiniciar cuando la instalación se ha completado.
  • /l: enumerar las actualizaciones de software o los hotfix instalados.
  • /o: sobrescribir los archivos OEM sin solicitar confirmación.
  • /n: no hacer copia de seguridad de los archivos que se requieren para desinstalar.
  • /f: exigir el cierre de otros programas cuando se apaga el equipo.
Para comprobar que la actualización de seguridad está instalada en el equipo, confirme que existe la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Media Services\wm822343

Información de distribución

Para instalar la actualización de seguridad sin la intervención de ningún usuario, escriba el siguiente comando en el símbolo del sistema:
WindowsMedia41-KB822343-x86-ENU /quiet
Para obtener información adicional acerca de cómo distribuir esta actualización de seguridad con los servicios de actualización de software de Microsoft, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx

Requisito de reinicio

No es necesario que reinicie el equipo una vez aplicada esta actualización de seguridad.

Información acerca de cómo quitar

No puede quitar esta actualización de seguridad ya que la tecnología de instalación no admite esta opción, pues Windows 2000 no dispone de una característica de vuelta a versiones anteriores de nivel de sistema.

Información acerca de la sustitución de la actualización de seguridad

Esta revisión de seguridad sustituye a la revisión 817772. Para obtener información adicional acerca de esta actualización de seguridad, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
817772 MS03-019: Un error en la extensión ISAPI de los servicios de Windows Media podría producir la denegación del servicio

Información sobre archivos

La versión en inglés de este hotfix tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. Las fechas y las horas de estos archivos se muestran según el Horario universal coordinado (UTC). Cuando vea la información de archivo, se convertirá a la hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.

Contraer esta tablaAmpliar esta tabla
FechaHoraVersiónTamañoNombre de archivo
-----------------------------------------------------------------------------------
02-Mar-200400:2624.576Custdll.dll
29-May-200321:254.1.0.393216.784Nsiislog.dll
03-Jun-200315:476.0.2600.0143.872Nsisapi.exe


Estado

Microsoft ha confirmado que se trata de un problema que puede causar un cierto grado de vulnerabilidad de la seguridad en los productos de Microsoft enumerados al principio de este artículo.

Más información

Para obtener más información acerca de esta vulnerabilidad, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-022-IT.asp

Propiedades

Id. de artículo: 822343 - Última revisión: jueves, 13 de febrero de 2014 - Versión: 5.0
La información de este artículo se refiere a:
  • Microsoft Windows Media Services 4.1
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
Palabras clave: 
kbnosurvey kbarchive kbwin2000presp5fix kbsecvulnerability kbsecurity kbsecbulletin kbqfe kbfix kbbug KB822343

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com