Boletín de seguridad de Microsoft MS16-065: importante
Actualización de seguridad para .NET Framework (3156757)
Publicado: 10 de mayo de 2016 | Actualizado: 12 de mayo de 2016
Versión: 1.1
Resumen ejecutivo
Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft .NET Framework. La vulnerabilidad podría provocar la divulgación de información si un atacante inserta datos sin cifrar en el canal seguro de destino y, a continuación, realiza un ataque de tipo "man in the middle" (MiTM) entre el cliente de destino y un servidor legítimo.
Esta actualización de seguridad es importante para Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6 y Microsoft .NET Framework 4.6.1 en versiones afectadas de Microsoft Windows. Para obtener más información, consulte la sección Software afectado.
La actualización de seguridad aborda la vulnerabilidad modificando la forma en que el componente de cifrado de .NET envía y recibe paquetes de red cifrados. Para obtener más información sobre la vulnerabilidad, consulte la sección Información de vulnerabilidades.
Para obtener más información sobre esta actualización, consulte el artículo de Microsoft Knowledge Base 3156757.
Clasificaciones de gravedad de software y vulnerabilidad afectadas
Las siguientes versiones o ediciones de software se ven afectadas. Las versiones o ediciones que no aparecen en la lista son anteriores a su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.
Las clasificaciones de gravedad indicadas para cada software afectado asumen el posible impacto máximo de la vulnerabilidad. Para obtener información sobre la probabilidad, en un plazo de 30 días a partir de la publicación de este boletín de seguridad, de la vulnerabilidad en relación con su clasificación de gravedad e impacto en la seguridad, consulte el Índice de vulnerabilidades en el resumen del boletín de mayo.
| Sistema operativo | Componente | Vulnerabilidad de divulgación de información tls/SSL: CVE-2016-0149 | Actualizaciones reemplazadas |
|---|---|---|---|
| Windows Vista | |||
| Windows Vista Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Divulgación de información importante | Ninguno |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Divulgación de información importante | 2972107 en MS14-057 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Divulgación de información importante | Ninguno |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Divulgación de información importante | Ninguno |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Divulgación de información importante | 2972107 en MS14-057 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Divulgación de información importante | Ninguno |
| Windows Server 2008 | |||
| Windows Server 2008 Service Pack 2 para sistemas de 32 bits | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Divulgación de información importante | Ninguno |
| Windows Server 2008 Service Pack 2 para sistemas de 32 bits | Microsoft .NET Framework 4.5.2[1](3142033) | Divulgación de información importante | 2972107 en MS14-057 |
| Windows Server 2008 Service Pack 2 para sistemas de 32 bits | Microsoft .NET Framework 4.6[1](3142037) | Divulgación de información importante | Ninguno |
| Windows Server 2008 Service Pack 2 para sistemas basados en x64 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Divulgación de información importante | Ninguno |
| Windows Server 2008 Service Pack 2 para sistemas basados en x64 | Microsoft .NET Framework 4.5.2[1](3142033) | Divulgación de información importante | 2972107 en MS14-057 |
| Windows Server 2008 Service Pack 2 para sistemas basados en x64 | Microsoft .NET Framework 4.6[1](3142037) | Divulgación de información importante | Ninguno |
| Windows Server 2008 para sistemas basados en Itanium Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Divulgación de información importante | Ninguno |
| Windows 7 | |||
| Windows 7 Service Pack 1 para sistemas de 32 bits | Microsoft .NET Framework 3.5.1 (3142024) | Divulgación de información importante | Ninguno |
| Windows 7 Service Pack 1 para sistemas de 32 bits | Microsoft .NET Framework 4.5.2[1](3142033) | Divulgación de información importante | 2972107 en MS14-057 |
| Windows 7 Service Pack 1 para sistemas de 32 bits | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Divulgación de información importante | Ninguno |
| Windows 7 Service Pack 1 para sistemas basados en x64 | Microsoft .NET Framework 3.5.1 (3142024) | Divulgación de información importante | Ninguno |
| Windows 7 Service Pack 1 para sistemas basados en x64 | Microsoft .NET Framework 4.5.2[1](3142033) | Divulgación de información importante | 2972107 en MS14-057 |
| Windows 7 Service Pack 1 para sistemas basados en x64 | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Divulgación de información importante | Ninguno |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 Service Pack 1 para sistemas basados en x64 | Microsoft .NET Framework 3.5.1 (3142024) | Divulgación de información importante | Ninguno |
| Windows Server 2008 R2 Service Pack 1 para sistemas basados en x64 | Microsoft .NET Framework 4.5.2[1](3142033) | Divulgación de información importante | 2972107 en MS14-057 |
| Windows Server 2008 R2 Service Pack 1 para sistemas basados en x64 | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Divulgación de información importante | Ninguno |
| Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Divulgación de información importante | Ninguno |
| Windows 8.1 | |||
| Windows 8.1 para sistemas de 32 bits | Microsoft .NET Framework 3.5 (3142026) | Divulgación de información importante | Ninguno |
| Windows 8.1 para sistemas de 32 bits | Microsoft .NET Framework 4.5.2[1](3142030) | Divulgación de información importante | 2978041 en MS14-057 |
| Windows 8.1 para sistemas de 32 bits | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Divulgación de información importante | Ninguno |
| Windows 8.1 para sistemas basados en x64 | Microsoft .NET Framework 3.5 (3142026) | Divulgación de información importante | Ninguno |
| Windows 8.1 para sistemas basados en x64 | Microsoft .NET Framework 4.5.2[1](3142030) | Divulgación de información importante | 2978041 en MS14-057 |
| Windows 8.1 para sistemas basados en x64 | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Divulgación de información importante | Ninguno |
| Windows Server 2012 y Windows Server 2012 R2 | |||
| Windows Server 2012 | Microsoft .NET Framework 3.5 (3142025) | Divulgación de información importante | Ninguno |
| Windows Server 2012 | Microsoft .NET Framework 4.5.2[1](3142032) | Divulgación de información importante | 2978042 en MS14-057 |
| Windows Server 2012 | Microsoft .NET Framework 4.6/4.6.1[1](3142035) | Divulgación de información importante | Ninguno |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (3142026) | Divulgación de información importante | Ninguno |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.5.2[1](3142030) | Divulgación de información importante | 2978041 en MS14-057 |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Divulgación de información importante | Ninguno |
| Windows RT 8.1 | |||
| Windows RT 8.1 | Microsoft .NET Framework 4.5.2[1][2](3142030) | Divulgación de información importante | 2978041 en MS14-057 |
| Windows RT 8.1 | Microsoft .NET Framework 4.6/4.6.1[1][2](3142036) | Divulgación de información importante | Ninguno |
| Windows 10 | |||
| Windows 10 para sistemas de 32 bits[3](3156387) | Microsoft .NET Framework 3.5 | Divulgación de información importante | 3147458 |
| Windows 10 para sistemas de 32 bits[3](3156387) | Microsoft .NET Framework 4.6 | Divulgación de información importante | 3147458 |
| Windows 10 para sistemas basados en x64[3](3156387) | Microsoft .NET Framework 3.5 | Divulgación de información importante | 3147458 |
| Windows 10 para sistemas basados en x64[3](3156387) | Microsoft .NET Framework 4.6 | Divulgación de información importante | 3147458 |
| Windows 10 versión 1511 para sistemas de 32 bits[2](3156421) | Microsoft .NET Framework 3.5 | Divulgación de información importante | 3140768 |
| Windows 10 versión 1511 para sistemas de 32 bits [2](3156421) | Microsoft .NET Framework 4.6.1 | Divulgación de información importante | 3140768 |
| Windows 10 versión 1511 para sistemas basados en x64[2](3156421) | Microsoft .NET Framework 3.5 | Divulgación de información importante | 3140768 |
| Windows 10 versión 1511 para sistemas basados en x64 [2](3156421) | Microsoft .NET Framework 4.6.1 | Divulgación de información importante | 3140768 |
| Opción de instalación Server Core | |||
| Windows Server 2008 R2 Service Pack 1 para sistemas basados en x64 (instalación de Server Core) | Microsoft .NET Framework 3.5.1 (3142024) | Divulgación de información importante | Ninguno |
| Windows Server 2008 R2 Service Pack 1 para sistemas basados en x64 (instalación de Server Core) | Microsoft .NET Framework 4.5.2[1](3142033) | Divulgación de información importante | 2972107 en MS14-057 |
| Windows Server 2008 R2 Service Pack 1 para sistemas basados en x64 (instalación de Server Core) | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Divulgación de información importante | Ninguno |
| Windows Server 2012 (instalación de Server Core) | Microsoft .NET Framework 3.5 (3142025) | Divulgación de información importante | Ninguno |
| Windows Server 2012 (instalación de Server Core) | Microsoft .NET Framework 4.5.2[1](3142032) | Divulgación de información importante | 2978042 en MS14-057 |
| Windows Server 2012 (instalación de Server Core) | Microsoft .NET Framework 4.6/4.6.1[1](3142035) | Divulgación de información importante | Ninguno |
| Windows Server 2012 R2 (instalación de Server Core) | Microsoft .NET Framework 3.5 (3142026) | Divulgación de información importante | Ninguno |
| Windows Server 2012 R2 (instalación de Server Core) | Microsoft .NET Framework 4.5.2[1](3142030) | Divulgación de información importante | 2978041 en MS14-057 |
| Windows Server 2012 R2 (instalación de Server Core) | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Divulgación de información importante | Ninguno |
[1]Para obtener información sobre los cambios en la compatibilidad con .NET Framework 4.x, vea Anuncios de soporte técnico de Internet Explorer y .NET Framework 4.x.
[2]Las actualizaciones de Windows RT 8.1 solo están disponibles a través de Windows Update.
[3]Las actualizaciones de Windows 10 son acumulativas. La versión de seguridad mensual incluye todas las correcciones de seguridad para las vulnerabilidades que afectan a Windows 10, además de las actualizaciones que no son de seguridad. Las actualizaciones están disponibles a través del catálogo de Microsoft Update.
Nota Windows Server 2016 Technical Preview 5 se ve afectado. Se recomienda a los clientes que ejecutan este sistema operativo aplicar la actualización, que está disponible a través de Windows Update.
Información de vulnerabilidad
Vulnerabilidad de divulgación de información tls/SSL: CVE-2016-0149
Existe una vulnerabilidad de divulgación de información en el protocolo TLS/SSL, implementada en el componente de cifrado de Microsoft .NET Framework. Un atacante que aprovechara correctamente esta vulnerabilidad podría descifrar el tráfico SSL/TLS cifrado.
Para aprovechar la vulnerabilidad, un atacante primero tendría que insertar datos sin cifrar en el canal seguro y, a continuación, realizar un ataque de tipo "man in the middle" (MiTM) entre el cliente de destino y un servidor legítimo. La actualización soluciona la vulnerabilidad modificando la forma en que el componente de cifrado de .NET envía y recibe paquetes de red cifrados.
Importante Microsoft recomienda que los clientes descarguen y prueben la actualización aplicable en entornos controlados o administrados antes de implementarla en sus entornos de producción.
En caso de problemas de compatibilidad de aplicaciones, el enfoque recomendado es asegurarse de que los puntos de conexión de servidor y cliente implementan correctamente la RFC de TLS y que pueden interpretar dos registros divididos que contienen 1, n-1 bytes respectivamente después de esta actualización. Para obtener más información e instrucciones para desarrolladores, consulte el artículo de Microsoft Knowledge Base 3155464.
La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:
| Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
|---|---|---|---|
| Vulnerabilidad de divulgación de información tls/SSL | CVE-2016-0149 | Sí | No |
Factores de mitigación
Los siguientes factores de mitigación pueden ser útiles en su situación:
Los clientes que han habilitado TLS1.2 no se ven afectados. Para obtener más información e instrucciones para desarrolladores, consulte el artículo de Microsoft Knowledge Base 3155464.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Implementación de actualizaciones de seguridad
Para obtener información sobre la implementación de actualizaciones de seguridad, consulte el artículo de Microsoft Knowledge Base al que se hace referencia en el resumen ejecutivo.
Agradecimientos
Microsoft reconoce los esfuerzos de los miembros de la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Consulte Confirmaciones para obtener más información.
Declinación de responsabilidades
La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (10 de mayo de 2016): Boletín publicado.
- V1.1 (12 de mayo de 2016): boletín revisado para anunciar un cambio de detección para la actualización de 3142037 para .NET Framework 4.6/4.6.1. Solo se trata de un cambio informativo. Los clientes que ya han actualizado correctamente sus sistemas no necesitan realizar ninguna acción.
Página generada 2016-05-12 09:54-07:00.