Hola, les escribe Roberto Arbeláez. Microsoft liberó el Documento Informativo de Seguridad 2588513 – La vulnerabilidad en SSL/TLS podría permitir la divulgación de información, el 26 de septiembre del 2011.

RESUMEN

Microsoft está al tanto de la publicación de información detallada que describe un nuevo método para explotar una vulnerabilidad en SSL 3.0 y TLS 1.0, que afecta al sistema operativo Windows. Esta vulnerabilidad afecta al protocolo mismo y no es específica del sistema operativo Windows. Ésta es una vulnerabilidad de divulgación de información que permite el descifrado de tráfico SSL/TLS cifrado. Esta vulnerabilidad afecta principalmente al tráfico HTTPS, ya que el explorador es el principal vector de ataque, y se ve afectado todo el tráfico Web que se envía a través de HTTPS o el contenido mixto de HTTP/HTTPS. Desconocemos una forma de explotar esta vulnerabilidad en otros protocolos o componentes y desconocemos ataques que intentan utilizar la vulnerabilidad informada en este momento. Tomando en cuenta el escenario de ataque, esta vulnerabilidad no se considera de alto riesgo para los clientes.

Trabajamos activamente con los socios en nuestro Programa de protección activa de Microsoft (MAPP) para proporcionar información que pueden utilizar para brindar protecciones más extensas a los clientes.

Una vez que concluya esta investigación, Microsoft emprenderá la acción correspondiente para ayudar a proteger a nuestros clientes. Esto puede incluir brindar una actualización de seguridad a través de nuestro proceso de liberación mensual o brindar una actualización de seguridad fuera del ciclo, dependiendo de las necesidades del cliente.

Software afectado

El documento informativo de seguridad trata sobre el software a continuación:

 

Software afectado

Windows XP con Service Pack 3

Windows XP Professional Edition de 64 bits con Service Pack 2

Windows Server 2003 con Service Pack 2

Windows Server 2003 Edition de 64 bits con Service Pack 2

Windows Server 2003 con SP2 para sistemas basados en Itanium

Windows Vista con Service Pack 2

Windows Vista de 64 bits con Service Pack 2

Windows Server 2008 para sistemas de 32 bits con Service Pack 2

Windows Server 2008 para sistemas de 64 bits con Service Pack 2

Windows Server 2008 para sistemas basados en Itanium con Service Pack 2

Windows 7 para sistemas de 32 bits con y Windows 7 para sistemas de 32 bits con Service Pack 1

Windows 7 para sistemas de 64 y Windows 7 para sistemas de 64 bits con Service Pack 1

Windows Server 2008 R2 para sistemas de 64 bits y Windows Server 2008 R2 para sistemas de 64 bits con Service Pack 1

Windows Server 2008 R2 para sistemas basados en Itanium y Windows Server 2008 R2 para sistemas basados en Itanium con Service Pack 1

RECOMENDACIONES

 

Revise el Documento Informativo de Seguridad 2588513 de Microsoft para obtener una descripción general del problema, detalles sobre los componentes afectados, factores de mitigación, acciones sugeridas, preguntas más frecuentes y vínculos a recursos adicionales.

Los clientes que consideren que están afectados se pueden poner en contacto sin cargo alguno con Servicio y soporte al cliente (CSS) en Norteamérica para recibir ayuda con los problemas de actualización de seguridad o virus utilizando la línea de Seguridad del PC (866) PCSAFETY. Los clientes internacionales se pueden poner en contacto con Atención al cliente y el Departamento de soporte utilizando cualquier método que se encuentra en http://www.microsoft.com/protect/worldwide/default.mspx.

Soporte en Latinoamérica

–Para usuario final: http://www.microsoft.com/latam/protect/support/default.mspx

–Para usuario corporativo: http://support.microsoft.com/default.aspx?ln=ES-LA

–Teléfonos de las líneas de soporte en Latinoamérica: http://support.microsoft.com/gp/contactusen/?ln=es-la

Recursos adicionales

· Documento Informativo de Seguridad 2588513 – La vulnerabilidad en SSL/TLS podría permitir la divulgación de información: http://technet.microsoft.com/security/advisory/2588513

· Blog del Centro de respuesta de seguridad de Microsoft (MSRC): http://blogs.technet.com/msrc/

· Blog del Centro de protección contra malware de Microsoft (MMPC): http://blogs.technet.com/mmpc/

· Blog de Investigación y defensa de vulnerabilidades de seguridad (SRD) de Microsoft: http://blogs.technet.com/srd/

Saludos,

Roberto Arbeláez

Security Program Manager for Latin America

CSS Security

Microsoft Corp.

Etiquetas de Technorati: ,,,