MS06-061: Unas vulnerabilidades en Microsoft XML Core Services podrían permitir la ejecución remota de código

Seleccione idioma Seleccione idioma
Id. de artículo: 924191 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

Microsoft ha publicado el boletín de seguridad MS06-061, que contiene toda la información relevante acerca de esta actualización de seguridad. Esta información incluye la lista detallada de archivos y las opciones de implementación. Para ver el boletín de seguridad completo, visite uno de los siguientes sitios Web de Microsoft:

Información del Service Pack

Este problema se corrigió por primera vez en Microsoft Office 2003 Service Pack 3. Para resolver este problema, obtenga el Service Pack más reciente de Office 2003. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
870924 Cómo obtener la versión más reciente del Service Pack para Office 2003

Problemas conocidos con esta actualización de seguridad

  • Si tiene instaladas varias versiones del Analizador XML de Microsoft o de Microsoft XML Core Services (MSXML), quizás tenga que instalar varios paquetes para esta actualización de seguridad. Además, si instala una versión de MSXML después de instalar esta actualización de seguridad, quizás tenga que instalar un paquete adicional para esta actualización de seguridad. Para obtener más información acerca de las distintas versiones de MSXML disponibles o incluidas con diversos productos o actualizaciones de software de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    269238 Lista de versiones del Analizador XML de Microsoft (MSXML)
  • Después de instalar la versión original de la actualización de seguridad 924191 para Windows 2000 Service Pack 4, el "bit de eliminación" para los CLSID del Analizador XML de Microsoft (MSXML) versión 2.6 está configurado incorrectamente en 0x00000190 (400) en lugar de 0x00000400 (1024). El 19 de octubre de 2006, Microsoft publicó una nueva versión de esta actualización de seguridad para tratar este problema.

    Nota: la nueva actualización de seguridad que se publicó el 19 de octubre de 2006 no actualiza correctamente la información de versión que se muestra en Agregar o quitar programas si anteriormente había instalado la actualización de seguridad original para Windows 2000. El número de versión debería actualizarse a 0061014.135844. Sin embargo, la información de versión se sigue mostrando como 20060915.123522. Este problema puede pasarse por alto. En esta situación, el "bit de eliminación" se ha actualizado correctamente en el Registro para los CLSID de la versión 2.6 de MSXML.
  • Después de instalar esta actualización de seguridad, no puede utilizar la versión 2.6 del Analizador XML de Microsoft en Microsoft Internet Explorer. Este comportamiento es una característica del diseño de la aplicación. El paquete 924191 de la actualización de seguridad establece el "bit de eliminación" para esta versión de MSXML. El "bit de eliminación" impide la ejecución del componente en Internet Explorer.

    Nota: los desarrolladores que utilizan Id. de programa dependientes de la versión 2.6 de MSXML en una aplicación deben actualizar los Id. para que utilicen MSXML 3.0.

    Código de ejemplo que utiliza un Id. de programa dependiente de la versión 2.6 de MSXML
    var o = new ActiveXObject("Msxml2.DOMDocument.2.6");
    Código de ejemplo actualizado que utiliza un Id. de programa dependiente de la versión 3.0 de MSXML
    var o = new ActiveXObject("Msxml2.DOMDocument.3.0");
    Los paquetes de actualización de seguridad para esta versión establecen el "bit de eliminación" para los CLSID de MSXML 2.6 que se enumeran en la tabla siguiente.
    Contraer esta tablaAmpliar esta tabla
    GUIDNombre simbólico
    f5078f22-c551-11d3-89b9-0000f81fe221CLSID_XMLDocument26
    f5078f1b-c551-11d3-89b9-0000f81fe221CLSID_DOMDocument26
    f5078f1c-c551-11d3-89b9-0000f81fe221CLSID_FreeThreadedDOMDocument26
    f5078f1d-c551-11d3-89b9-0000f81fe221CLSID_XMLSchemaCache26
    f5078f1e-c551-11d3-89b9-0000f81fe221CLSID_XMLHTTP26
    f5078f21-c551-11d3-89b9-0000f81fe221CLSID_XSLTemplate26
    f5078f1f-c551-11d3-89b9-0000f81fe221CLSID_DSOControl26
    f5078f20-c551-11d3-89b9-0000f81fe221CLSID_XMLParser26
    f5078f28-c551-11d3-89b9-0000f81fe221CLSID_Viewer26
    f5078f29-c551-11d3-89b9-0000f81fe221CLSID_BufferedMoniker26
    f5078f26-c551-11d3-89b9-0000f81fe221CLSID_XSLPatternFactory26
  • Los paquetes de actualización de seguridad 925672 y 925673 para MSXML 4.0 Service Pack 2 (SP2) y MSXML 6.0 son paquetes de instalación completos. Puede usar estos paquetes para instalar MSXML 4.0 SP2 o MSXML 6.0 en un equipo que no tenga instaladas versiones anteriores de MSXML 4.0 o MSXML 6.0. Del mismo modo, puede usar estos paquetes para actualizar una instalación existente de MSXML 4.0, MSXML 4.0 SP1 o MSXML 6.0.
  • Windows Update y Microsoft Update solo ofrecen paquetes de actualización de seguridad 925672 y 925673 si ya tiene instalada una versión anterior de MSXML 4.0 SP2 o MSXML 6.0 en el equipo. Si no tiene instalada una versión anterior de MSXML 4.0 SP2 o MSXML 6.0, descargue e instale estos paquetes desde el Centro de descarga de Microsoft.
  • Windows Update y Microsoft Update no ofrecen actualización de seguridad 925672 si tiene instalado MSXML 4.0 o MSXML 4.0 SP1. Para actualizar MSXML 4.0 o MSXML 4.0 SP1, use uno de los métodos siguientes:
  • Los archivos que ya están instalados por los paquetes de actualización de seguridad 925672 y 925673 para MSXML 4.0 SP2 y MSXML 6.0 se enumeran en las tablas siguientes.

    MSXML 6.0 sin instalar
    Contraer esta tablaAmpliar esta tabla
    Nombre de archivo Versión Fecha Hora Tamaño
    Msxml6.dll 6.0.3888.0 1-sep-06 12:081.27 MB
    Msxml6r.dll 6.0.3883.0 19-jul-06 10:55 84.6 KB
    MSXML 6.0 instalado
    Contraer esta tablaAmpliar esta tabla
    Nombre de archivo Versión Fecha Hora Tamaño
    Msxml6.dll 6.0.3888.0 1-sep-06 12:081.27 MB
    MSXML 4.0 sin instalar
    Contraer esta tablaAmpliar esta tabla
    Nombre de archivo Versión Fecha Hora Tamaño
    Msxml4.dll 4.20.9839.0 12-sep-06 5:51 1216 KB
    Msxml4r.dll 4.10.9404.0 12-jul-06 5:49 80.5 KB
    Nota: esta actualización de seguridad se instaló en la carpeta %SystemRoot%\System32 y en una carpeta aislada.

    MSXML 4.0 instalado
    Contraer esta tablaAmpliar esta tabla
    Nombre de archivo Versión Fecha Hora Tamaño
    Msxml4.dll 4.20.9839.0 12-sep-06 5:5311.18 MB
    Nota: esta actualización de seguridad se instaló en la carpeta %SystemRoot%\System32 y en una carpeta aislada.
  • Cuando quita la actualización de seguridad 925673 para MSXML 6.0, MSXML 6.0 se quita completamente de su equipo.
  • El paquete de actualización de seguridad 925672 para MSXML 4.0 SP2 no permite quitar MSXML 4.0 completamente, porque esta versión de MSXML está instalada en el modo carpeta aislada. Para evitar temporalmente este problema, siga estos pasos:
    1. Use Agregar o quitar programas para quitar la actualización de seguridad 925672.
    2. Elimine el archivo MSXML4.dll de la carpeta %SystemRoot%\System32.
    3. Use Agregar o quitar programas para reparar MSXML 4.0.
    Las versiones anteriores de los archivos Msxml4.dll y Msxml4r.dll se restauran en la carpeta %SystemRoot%\System32 y en la carpeta aislada.
  • Los paquetes de la actualización de seguridad para MSXML 3.0 solamente actualizan el archivo MSXML3.dll. Para esta versión no se actualizan los archivos de recursos.
  • Después de instalar la actualización de seguridad, puede experimentar un comportamiento inesperado en las aplicaciones de Microsoft Commerce Server 2002 Business Desk. Para obtener más información acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    926509 Puede experimentar un comportamiento inesperado cuando tiene acceso a las aplicaciones de Commerce Server Business Desk después de actualizar el equipo con las actualizaciones de seguridad más recientes

Paquetes adicionales para esta actualización de seguridad

Los paquetes de la actualización de seguridad para esta versión utilizan este número de artículo de Knowledge Base (924191) y los números de artículo siguientes de Knowledge Base.
  • 925673 MS06-061: Actualización de seguridad para Microsoft XML Core Services 6.0
  • 925672 MS06-061: Actualización de seguridad para Microsoft XML Core Services 4.0 SP2
  • 924424 Descripción de la actualización de seguridad para Office 2003: 10 de octubre de 2006

Propiedades

Id. de artículo: 924191 - Última revisión: martes, 11 de diciembre de 2007 - Versión: 6.3
La información de este artículo se refiere a:
  • Microsoft XML Parser 3.0
  • Microsoft XML Core Services 4.0
  • Microsoft XML Core Services 6.0
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Tablet PC Edition 2005
  • Microsoft Windows XP Tablet PC Edition Service Pack 2 (SP2)
  • Microsoft Office 2003, All Editions
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
Palabras clave: 
kbwinserv2003sp2fix kboffice2003presp3fix kbwin2000presp5fix kbwinserv2003presp2fix kbwinxppresp3fix kbexpertisebeginner kbqfe kbsecurity kbsecbulletin kbsecvulnerability kbbug kbfix kbpubtypekc KB924191

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com