MS06-061: Unas vulnerabilidades de Microsoft XML Core Services podrían permitir la ejecución remota de código

INTRODUCCIÓN

Microsoft ha publicado el boletín de seguridad MS06-061. El boletín de seguridad contiene toda la información relevante acerca de la actualización de seguridad. Esta información incluye el archivo manifiesto y opciones de implementación. Para ver el boletín de seguridad completo, visite uno de los siguientes sitios Web de Microsoft:

Información del Service pack

Ahora se corrige el problema que se resuelve mediante esta actualización de seguridad en Microsoft Office 2003 Service Pack 3 (SP3). Para obtener más información acerca de cómo obtener el service pack más reciente para Microsoft Office 2003, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

870924 cómo obtener el service pack más reciente para Office 2003

Problemas conocidos con esta actualización de seguridad

  • Si tiene varias versiones de Microsoft XML Parser o Microsoft XML Core Services (MSXML) instalado, tendrá que instalar varios paquetes para esta actualización de seguridad. Además, si instala una versión de MSXML después de instalar esta actualización de seguridad, tendrá que instalar un paquete adicional para esta actualización de seguridad. Para obtener más información acerca de las distintas versiones MSXML disponibles o incluidas con diversos productos de Microsoft o actualizaciones de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    269238 versiones de lista de Microsoft XML Parser (MSXML)

  • Después de instalar la versión original de la actualización de seguridad 924191 para Windows 2000 Service Pack 4, el "bit de eliminación" para la versión de Microsoft XML Parser (MSXML) 2.6 CLSID está configurado incorrectamente en 0 x 00000190 (400) en lugar de 0 x 00000400 (1024). 19 de octubre de 2006, Microsoft publicó una nueva versión de esta actualización de seguridad para tratar este problema.



    Nota: La nueva actualización de seguridad que se publicó el 19 de octubre de 2006 no actualiza correctamente la información de versión que aparece en Agregar o quitar programas si instaló previamente la actualización de seguridad original de Windows 2000. El número de versión debería actualizarse a 0061014.135844. Sin embargo, se sigue la información de versión que se mostrará como 20060915.123522. Puede ignorar este problema. En este escenario, el "bit de eliminación" se actualiza correctamente en el registro para los CLSID de la versión 2.6 de MSXML.
  • Después de instalar esta actualización de seguridad, no puede utilizar el analizador de Microsoft XML versión 2.6 en Internet Explorer. Este comportamiento es por diseño. El paquete de actualización de seguridad 924191 establece el "bit de eliminación" para esta versión de MSXML. El "bit de eliminación" impide que se ejecute en Internet Explorer el componente.

    Nota: Los desarrolladores que utilizan identificadores de programa dependiente de la versión 2.6 de MSXML (ProgID) de una aplicación deben actualizar los ID para utilizar MSXML 3.0.

    Código de ejemplo que utiliza un ProgID dependiente de la versión de MSXML 2.6
    var o = new ActiveXObject("Msxml2.DOMDocument.2.6");
    Código de ejemplo actualizado que utiliza un ProgID dependiente de la versión de MSXML 3.0
    var o = new ActiveXObject("Msxml2.DOMDocument.3.0");
    Los paquetes de actualización de 924191 seguridad para esta versión establecen el "bit de interrupción" para los CLSID de MSXML 2.6 que se enumeran en la tabla siguiente.
    GUIDNombre simbólico
    f5078f22-c551-11d3-89b9-0000f81fe221CLSID_XMLDocument26
    f5078f1b-c551-11d3-89b9-0000f81fe221CLSID_DOMDocument26
    f5078f1c-c551-11d3-89b9-0000f81fe221CLSID_FreeThreadedDOMDocument26
    f5078f1d-c551-11d3-89b9-0000f81fe221CLSID_XMLSchemaCache26
    f5078f1e-c551-11d3-89b9-0000f81fe221CLSID_XMLHTTP26
    f5078f21-c551-11d3-89b9-0000f81fe221CLSID_XSLTemplate26
    f5078f1f-c551-11d3-89b9-0000f81fe221CLSID_DSOControl26
    f5078f20-c551-11d3-89b9-0000f81fe221CLSID_XMLParser26
    f5078f28-c551-11d3-89b9-0000f81fe221CLSID_Viewer26
    f5078f29-c551-11d3-89b9-0000f81fe221CLSID_BufferedMoniker26
    f5078f26-c551-11d3-89b9-0000f81fe221CLSID_XSLPatternFactory26
  • Los paquetes de actualización de seguridad 925672 y 925673 para MSXML 4.0 Service Pack 2 (SP2) y MSXML 6.0 son paquetes de instalación completa. Puede usar estos paquetes para instalar MSXML 4.0 SP2 o MSXML 6.0 en un equipo que no tenga versiones anteriores de MSXML 4.0 o MSXML 6.0 instalado. También puede usar estos paquetes para actualizar una instalación existente de MSXML 4.0, MSXML 4.0 SP1 o MSXML 6.0.
  • Windows Update y Microsoft Update solamente ofrecen paquetes de actualización de seguridad 925672 y 925673 si ya está instalada una versión anterior de MSXML 4.0 SP2 o MSXML 6.0 en el equipo. Si no tiene una versión anterior de MSXML 4.0 SP2 o MSXML 6.0 instalado, descargue e instale estos paquetes desde Microsoft Download Center.
  • Windows Update y Microsoft Update no ofrecen actualización de seguridad 925672 si tiene instalado MSXML 4.0 o MSXML 4.0 SP1 instalado. Para actualizar MSXML 4.0 o MSXML 4.0 SP1, utilice uno de los métodos siguientes:
  • Los archivos que están instalados por los paquetes de actualización de seguridad 925672 y 925673 para MSXML 4.0 SP2 y MSXML 6.0 se enumeran en las tablas siguientes.

    MSXML 6.0 no se instala
    Nombre de archivoVersiónFechaHoraTamaño
    Msxml6.dll6.0.3888.01-Sep-0612:081.27 MB
    Msxml6r.dll6.0.3883.019-Jul-0610:5584,6 KB
    MSXML 6.0 está instalado
    Nombre de archivoVersiónFechaHoraTamaño
    Msxml6.dll6.0.3888.01-Sep-0612:081.27 MB
    MSXML 4.0 no está instalado
    Nombre de archivoVersiónFechaHoraTamaño
    Msxml4.dll4.20.9839.012-Sep-065:511216 KB
    Msxml4r.dll4.10.9404.012-Jul-065:4980,5 KB
    Nota: Esta actualización de seguridad se instala en la carpeta %SystemRoot%\System32 y en la carpeta side-by-side.

    MSXML 4.0 instalado
    Nombre de archivoVersiónFechaHoraTamaño
    Msxml4.dll4.20.9839.012-Sep-065:5311.18 MB
    Nota: Esta actualización de seguridad se instala en la carpeta %SystemRoot%\System32 y en la carpeta side-by-side.
  • Cuando quita la actualización de seguridad 925673 para MSXML 6.0, MSXML 6.0 se quita completamente del equipo.
  • Paquete de actualización de seguridad 925672 para MSXML 4.0 SP2 no permite quitar MSXML 4.0 completamente la porque esta versión de MSXML se instala en modo de side-by-side. Para evitar este problema, siga estos pasos:
    1. Utilice Agregar o quitar programas para quitar la actualización de seguridad 925672.
    2. Elimine el archivo MSXML4.dll la desde la carpeta %SystemRoot%\System32.
    3. Utilice Agregar o quitar programas para reparar MSXML 4.0.
    Las versiones anteriores de los archivos Msxml4.dll y Msxml4r.dll se restauran en la carpeta %SystemRoot%\System32 y en la carpeta side-by-side.
  • Los paquetes de actualización de seguridad para MSXML 3.0 solamente actualizan el archivo MSXML3.dll. No se actualizan los archivos de recursos para esta versión.
  • Después de instalar esta actualización de seguridad, puede experimentar un comportamiento inesperado en aplicaciones de Microsoft Commerce Server 2002 Business Desk. Para obtener más información acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    926509 puede experimentar un comportamiento inesperado cuando tiene acceso a las aplicaciones de Commerce Server Business Desk después de actualizar el equipo con las últimas actualizaciones de seguridad

Paquetes adicionales para esta actualización de seguridad

Los paquetes de actualización de seguridad para esta versión utilizan este número de artículo de Knowledge Base (924191) y los números de artículo siguientes de Knowledge Base.
  • 925673 MS06-061: actualización de seguridad para Microsoft XML Core Services 6.0

  • 925672 MS06-061: actualización de seguridad para Microsoft XML Core Services 4.0 SP2

  • 924424 descripción de la actualización de seguridad para Office 2003: 10 de octubre de 2006

Propiedades

Id. de artículo: 924191 - Última revisión: 14 ene. 2017 - Revisión: 2

Comentarios