Aviso
Esta actualización de seguridad se volvió a publicar el 12 de septiembre de 2017 para solucionar problemas conocidos de la actualización 3170455 para CVE-2016-3238. Microsoft publicó las siguientes actualizaciones para las versiones de Microsoft Windows actualmente compatibles. Para obtener más información al respecto, consulte el artículo siguiente en Microsoft Knowledge Base:
-
Fecha de nueva publicación 3170455 para Windows Server 2008
-
Paquete acumulativo mensual 4038777 y actualización de seguridad 4038779 para Windows 7 y Windows Server 2008 R2
-
Paquete acumulativo mensual 4038799 y actualización de seguridad 4038786 para Windows Server 2012
-
Paquete acumulativo mensual 4038792 y actualización de seguridad 4038793 para Windows 8.1 y Windows Server 2012 R2
-
Actualización acumulativa 4038781 para Windows 10
-
Actualización acumulativa 4038781 para Windows 10, versión 1511
-
Actualización acumulativa 4038782 para Windows 10, versión 1607 y Windows Server 2016
Microsoft recomienda que los usuarios que ejecutan Windows Server 2008 vuelvan a instalar la actualización 3170455. Microsoft recomienda que los usuarios que ejecutan otras versiones compatibles de Windows instalen la actualización adecuada. Para obtener más información, vaya al artículo 3170455 de Microsoft Knowledge Base.
Otros cambios que se incluyen en la nueva versión de MS16-087
-
Se agregó el registro de eventos para ayudar a determinar la causa de los errores de instalación de controlador.
Anteriormente, la única manera que un usuario tenía para saber por qué se había producir un error en un controlador durante las nuevas comprobaciones de restricción implementadas como parte de MS16-087 era recopilar registros etw de impresión y luego enviarlo a Microsoft para su análisis.
Hemos agregado funcionalidad para registrar la causa de los errores en el registro de eventos para que los usuarios puedan, ellos mismos, investigar la causa raíz de los errores de controlador.
Información que se registrará:
1. Si un controlador no es compatible con paquetes o no está firmado correctamente, se registrará el siguiente mensaje:
MSG_CSRSPL_UNTRUSTED_DRIVER: "The print spooler failed to download package for driver <driverName>. Error code= <errorCodeFromListBelow>. Blocking driver as there could be a possibility of potential tampering." (El administrador de trabajos de impresión no pudo descargar el paquete para el controlador <NombreDeControlador>. Código de error= <CódigoErrorDeListaSiguiente>. Se bloqueará el controlador porque existe la posibilidad de manipulación no autorizada").
2. Si un controlador no supera la validación de una firma mediante el catálogo proporcionado, se registra el siguiente mensaje:
VALIDATEDRVINFO_FAILED: "In VALIDATINGDRVINFO, Adding printer driver <driverName> failed, error code <errorCodeFromListBelow>" ("En VALIDATINGDRVINFO, se produjo un error al agregar el controlador de impresora <NombreDeControlador>, código de error <CódigoErrorDeListaSiguiente>").
Posibles códigos de error:
|
Código |
Significado |
|
0x800F0243L |
Publisher not trusted (El editor no es de confianza) |
|
0x800F024BL |
Hash not in catalog (Hash no disponible en el catálogo) |
|
0x800F022FL |
No Catalog for OEM INF (No hay catálogo para INF del OEM) |
|
0x800F023FL |
No authenticode catalog (Sin catálogo de código de autenticación) |
|
0x800F0240L |
Authenticode disallowed (Código de autenticación no permitido) |
|
0x800F0249L |
Generic "Driver install blocked" (Error genérico "Instalación de controlador bloqueada") |
Resumen
Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Windows. La vulnerabilidad más grave podría permitir la ejecución del código remoto si un atacante puede ejecutar ataques de tipo "Man in the middle" (MiTM) en una estación de trabajo o un servidor de impresión, o configurar un servidor de impresión no autorizado en una red de destino. Para obtener más información sobre la vulnerabilidad, consulte el Boletín de seguridad de Microsoft MS16-087.
Más información
Importante
-
Después de instalar esta actualización de seguridad, para implementar controladores de apuntar e imprimir desde los servidores de impresión a los clientes, tiene que aplicar el siguiente paquete acumulativo de actualizaciones de Windows en el servidor de impresión Windows 8.1 o Windows Server 2012 R2:
3000850 Paquete acumulativo de actualizaciones de noviembre de 2014 para Windows RT 8.1, Windows 8.1 y Windows Server 2012 R2
-
Todas las actualizaciones futuras de seguridad o no relacionadas con la seguridad para Windows RT 8.1, Windows 8.1 y Windows Server 2012 R2 requieren la instalación de la actualización 2919355. Se recomienda instalar la actualización 2919355 en el equipo con Windows RT 8.1, Windows 8.1 o Windows Server 2012 R2 para recibir futuras actualizaciones.
-
Si se instala un paquete de idioma después de esta actualización, habrá que volver a instalar la actualización. Por tanto, se recomienda instalar los paquetes de idioma necesarios antes de instalar esta actualización. Para obtener más información, consulte Agregar paquetes de idioma a Windows.
Información adicional acerca de esta actualización de seguridad
En los siguientes artículos podrá encontrar información adicional sobre esta actualización de seguridad relacionada con las versiones de productos individuales. Los artículos pueden contener información sobre problemas conocidos.
-
3170455 MS16-087: Descripción de la actualización de seguridad para los componentes del administrador de trabajos de impresión de Windows: 12 de julio de 2016
-
3163912 Actualización acumulativa para Windows 10: 12 de julio de 2016
-
3172985 Actualización acumulativa para Windows 10, versión 1511 y Windows Server 2016 Technical Preview 4: 12 de julio de 2016
Problemas conocidos
Si usa la impresión de red en su entorno, es posible que experimente uno de los siguientes problemas:
-
Es posible que aparezca una advertencia sobre la instalación de un controlador de impresora o que el controlador no se instale sin notificación después de aplicar MS16-087. Los síntomas que se indican aquí dependen del escenario específico.
Escenario 1: para los controladores de impresora v3 no compatibles con paquetes, es posible que aparezca el siguiente mensaje de advertencia cuando los usuarios intentan conectar impresoras tipo apuntar e imprimir:
Escenario 2: los controladores compatibles con paquetes se deben firmar con un certificado de confianza. El proceso de comprobación verifica si todos los archivos incluidos en el controlador se almacenan en el hash del catálogo. Si se produce un error durante la comprobación, el controlador se considera como que no es de confianza. En este caso, se bloquea la instalación del controlador y aparece el siguiente mensaje de advertencia:
Escenario 3: en escenarios no interactivos (por ejemplo, la impresora se instala a través de un script automatizado), cuando el controlador de impresora coincide con los criterios que se describen en los escenarios 1 o 2, se produce un error en la instalación sin que aparezca ningún mensaje de advertencia. En estos casos, póngase en contacto con el administrador de red para obtener un controlador actualizado del fabricante de la impresora. Asistencia para los administradores de red:
-
actualizar el controlador de impresora afectado. En Windows Vista se presentaron controladores de impresora V3 compatibles con paquetes. Si se instala un controlador de impresora compatible con paquetes, se solucionará el problema.
-
Si una impresora heredada específica no tiene disponible el controlador de impresora adecuado, el problema se solucionará si se preinstala el controlador de impresora problemático en el sistema cliente.
Para obtener más información sobre estos escenarios, consulte los siguientes recursos de Microsoft:
-
-
Después de aplicar la actualización de seguridad MS16-087 (KB 3170455) no podrá conectarse a una impresora compatible con paquetes de confianza instalada en un sistema que ejecuta Windows 8.1 o Windows Server 2012 R2. Para solucionar este problema, aplique el siguiente paquete acumulativo de actualizaciones de Windows en el servidor de impresora de Windows 8.1 o Windows Server 2012 R2:
3000850 Paquete acumulativo de actualizaciones de noviembre de 2014 para Windows RT 8.1, Windows 8.1 y Windows Server 2012 R2
Actualización de octubre de 2016: Mitigación para problemas conocidos
Microsoft publicó una actualización para octubre de 2016 que permite a los administradores de red configurar directivas que permiten la instalación de controladores de impresión que ellos consideren seguros. Esta actualización también permite a los administradores de red implementar conexiones de impresora que ellos consideren seguras. Las actualizaciones se incluyen en los siguientes paquetes acumulativos.
|
Windows 10 RTM |
|
|
Windows 10 1511 |
|
|
Windows 10 1607 |
|
|
Windows 7 y Windows Server 2008 R2 |
|
|
Windows Server 2012 |
|
|
Windows 8.1 y Windows Server 2012 R2 |
Configuración de la directiva de grupo para agregar servidores de impresión a la lista de elementos permitidos
-
Haga clic en Inicio y, luego, en Ejecutar.
-
Escriba gpedit.msc y haga clic en Aceptar.
-
Expanda Configuración del equipo y, después, Plantillas administrativas.
-
Haga clic en Impresoras.
-
Haga doble clic en Restricciones de apuntar e imprimir y seleccione la opción Habilitado.
-
En Opciones, active la casilla Los usuarios solo pueden apuntar e imprimir en los siguientes servidores: y escriba los nombres de servidor completos en el cuadro de texto, separados por punto y coma.
-
En Avisos de seguridad, establézcalos de la siguiente manera:
-
"Al instalar controladores para una nueva conexión": "Mostrar aviso y petición de elevación".
-
"Al actualizar controladores para una conexión existente": "Mostrar aviso y petición de elevación".
-
-
Haga clic en Aplicar y, luego, en Acepar.
-
En la página de directivas Impresoras, haga doble clic en Apuntar e imprimir en paquete: servidores aprobados.
-
Seleccione la opción Habilitado.
-
En Opciones, haga clic en Mostrar.
-
Escriba un nombre de servidor completo en cada fila.
-
Haga clic en Aceptar.
-
Haga clic en Aplicar y luego en Aceptar.
-
Si usa un cliente autónomo, reinicie el cliente y luego compruebe que se hayan aplicado las directivas.
-
Si usa directivas de dominio, inserte las directivas en los clientes de dominio y luego compruebe que se hayan aplicado las directivas.
Nota: Después de habilitar las directivas de grupo, tiene que agregar todos los servidores de impresión a las listas Restricciones de apuntar e imprimir y Apuntar e imprimir en paquete: servidores aprobados. Esto es el caso, independientemente de la compatibilidad con paquetes.
Preguntas más frecuentes sobre la actualización de octubre de 2016
-
P: ¿Debemos desinstalar la actualización anterior? R: No. La actualización anterior corrige la vulnerabilidad. La actualización de octubre de 2016 proporciona mitigación para que los administradores de red tengan la capacidad de instalar los controladores que ellos consideren seguros.
-
P: Incluso con la actualización de octubre de 2016 instalada y las directivas de grupo configuradas, el mensaje "¿Confía en esta impresora?" sigue apareciendo al intentar instalar una impresora local. ¿Por qué? R: Esta mitigación está diseñada para las impresoras de red y no las locales, por lo que este comportamiento es esperado. Nota: Si recibe el mensaje "¿Confía en esta impresora?", reemplace el controlador actual por un controlador compatible con paquetes o instale los archivos de controlador en el almacén de la unidad local antes de instalar la impresora local. Para obtener más información, consulte la sección Asistencia para los administradores de red.
Obtención e instalación de la actualización
Método 1: Windows Update
Esta actualización está disponible a través de Windows Update. Cuando active las actualizaciones automáticas, esta actualización se descargará e instalará automáticamente. Para obtener más información sobre cómo activar las actualizaciones automáticas, consulte Obtener actualizaciones de seguridad automáticamente. Nota: La actualización para Windows RT 8.1 está disponible únicamente a través de Windows Update.
Puede obtener el paquete de actualización independiente en el Centro de descarga de Microsoft. Siga las instrucciones de instalación de la página de descarga para instalar la actualización. Haga clic en el vínculo de descarga del Boletín de seguridad de Microsoft MS16-087 correspondiente a la versión de Windows que se ejecuta en el equipo.
Más información
Tabla de referencia de Windows Vista (todas las ediciones) La tabla siguiente contiene la información de actualización de seguridad de este software.
|
Nombres de los archivos de la actualización de seguridad |
Para todas las ediciones de Windows Vista de 32 bits compatibles: Windows6.0-KB3170455-x86.msu |
|
Para todas las ediciones de Windows Vista basadas en x64 bits compatibles: Windows6.0-KB3170455-x64.msu |
|
|
Parámetros de instalación |
Consulte el artículo 934307 de Microsoft Knowledge Base. |
|
Requisitos de reinicio |
En algunos casos, esta actualización no requiere reiniciar el sistema. Si se están usando los archivos necesarios, la actualización de seguridad requerirá que se reinicie el sistema. Si se produce este comportamiento, recibirá un mensaje pidiéndole que reinicie el sistema. |
|
Información de eliminación |
Wusa.exe no admite la desinstalación de actualizaciones. Para desinstalar una actualización instalada por WUSA, haga clic en Panel de control y elija Seguridad. En Windows Update, haga clic en Ver actualizaciones instaladas y luego seleccione la actualización de la lista de actualizaciones. |
|
Información de archivo |
Consulte el artículo 3170455 de Microsoft Knowledge Base. |
|
Comprobación de claves del Registro |
Nota No hay una clave de Registro para validar la presencia de esta actualización. |
Tabla de referencia de Windows Server 2008 (todas las ediciones) La tabla siguiente contiene la información de actualización de seguridad de este software.
|
Nombres de los archivos de la actualización de seguridad |
Para todas las ediciones de Windows Server 2008 de 32 bits compatibles: Windows6.0-KB3170455-x86.msu |
|
Para todas las ediciones de Windows Server 2008 basadas en x64 bits compatibles: Windows6.0-KB3170455-x64.msu |
|
|
Para todas las ediciones de Windows Server 2008 basadas en Itanium compatibles: Windows6.0-KB3170455-ia64.msu |
|
|
Parámetros de instalación |
Consulte el artículo 934307 de Microsoft Knowledge Base. |
|
Requisitos de reinicio |
En algunos casos, esta actualización no requiere reiniciar el sistema. Si se están usando los archivos necesarios, la actualización de seguridad requerirá que se reinicie el sistema. Si se produce este comportamiento, recibirá un mensaje pidiéndole que reinicie el sistema. |
|
Información de eliminación |
Wusa.exe no admite la desinstalación de actualizaciones. Para desinstalar una actualización instalada por WUSA, haga clic en Panel de control y elija Seguridad. En Windows Update, haga clic en Ver actualizaciones instaladas y luego seleccione la actualización de la lista de actualizaciones. |
|
Información de archivo |
Consulte el artículo 3170455 de Microsoft Knowledge Base. |
|
Comprobación de claves del Registro |
Nota No hay una clave de Registro para validar la presencia de esta actualización. |
Tabla de referencia de Windows 7 (todas las ediciones) La tabla siguiente contiene la información de actualización de seguridad de este software.
|
Nombre del archivo de la actualización de seguridad |
Para todas las ediciones de Windows 7 de 32 bits compatibles: Windows6.1-KB3170455-x86.msu |
|
Para todas las ediciones de Windows 7 basadas en x64 bits compatibles: Windows6.1-KB3170455-x64.msu |
|
|
Parámetros de instalación |
Consulte el artículo 934307 de Microsoft Knowledge Base. |
|
Requisitos de reinicio |
En algunos casos, esta actualización no requiere reiniciar el sistema. Si se están usando los archivos necesarios, la actualización de seguridad requerirá que se reinicie el sistema. Si se produce este comportamiento, recibirá un mensaje pidiéndole que reinicie el sistema. |
|
Información sobre la eliminación |
Para quitar una actualización instalada mediante WUSA, use el modificador de configuración /Uninstall o haga clic en Panel de control, Sistema y seguridad y, luego, en Windows Update y Ver actualizaciones instaladas. Después, seleccione la actualización de la lista de actualizaciones. |
|
Información de archivo |
Consulte el artículo 3170455 de Microsoft Knowledge Base. |
|
Comprobación de claves del Registro |
Nota No hay una clave de Registro para validar la presencia de esta actualización. |
Tabla de referencia de Windows Server 2008 R2 (todas las ediciones) La tabla siguiente contiene la información de actualización de seguridad de este software.
|
Nombre del archivo de la actualización de seguridad |
Para todas las ediciones de Windows Server 2008 R2 basadas en x64 bits compatibles: Windows6.1-KB3170455-x64.msu |
|
Para todas las ediciones de Windows Server 2008 R2 basadas en Itanium compatibles: Windows6.1-KB3170455-ia64.msu |
|
|
Parámetros de instalación |
Consulte el artículo 934307 de Microsoft Knowledge Base. |
|
Requisitos de reinicio |
En algunos casos, esta actualización no requiere reiniciar el sistema. Si se están usando los archivos necesarios, la actualización de seguridad requerirá que se reinicie el sistema. Si se produce este comportamiento, recibirá un mensaje pidiéndole que reinicie el sistema. |
|
Información sobre la eliminación |
Para quitar una actualización instalada mediante WUSA, use el modificador de configuración /Uninstall o haga clic en Panel de control, Sistema y seguridad y, luego, en Windows Update y Ver actualizaciones instaladas. Después, seleccione la actualización de la lista de actualizaciones. |
|
Información de archivo |
Consulte el artículo 3170455 de Microsoft Knowledge Base. |
|
Comprobación de claves del Registro |
Nota No hay una clave de Registro para validar la presencia de esta actualización. |
Tabla de referencia de Windows 8.1 (todas las ediciones) La tabla siguiente contiene la información de actualizaciones de seguridad de este software.
|
Nombre del archivo de la actualización de seguridad |
Para todas las ediciones de Windows 8.1 de 32 bits compatibles: Windows8.1-KB3170455-x86.msu |
|
Para todas las ediciones de Windows 8.1 basadas en x64 bits compatibles: Windows8.1-KB3170455-x64.msu |
|
|
Parámetros de instalación |
Consulte el artículo 934307 de Microsoft Knowledge Base. |
|
Requisitos de reinicio |
En algunos casos, esta actualización no requiere reiniciar el sistema. Si se están usando los archivos necesarios, la actualización de seguridad requerirá que se reinicie el sistema. Si se produce este comportamiento, recibirá un mensaje pidiéndole que reinicie el sistema. |
|
Información sobre la eliminación |
Para quitar una actualización instalada mediante WUSA, utilice el modificador de configuración /Uninstall o haga clic en Panel de control, Sistema y seguridad, Windows Update, Actualizaciones instaladas en Vea también y seleccione la actualización de la lista de actualizaciones. |
|
Información de archivo |
Consulte el artículo 3170455 de Microsoft Knowledge Base. |
|
Comprobación de claves del Registro |
Nota No hay una clave de Registro para validar la presencia de esta actualización. |
Tabla de referencia de Windows Server 2012 y Windows Server 2012 R2 (todas las ediciones) La tabla siguiente contiene la información de actualización de seguridad de este software.
|
Nombre del archivo de la actualización de seguridad |
Para todas las ediciones de Windows Server 2012 compatibles: Windows8-RT-KB3170455-x64.msu |
|
Para todas las ediciones de Windows Server 2012 R2 compatibles: Windows8.1-KB3170455-x64.msu |
|
|
Parámetros de instalación |
Consulte el artículo 934307 de Microsoft Knowledge Base. |
|
Requisitos de reinicio |
En algunos casos, esta actualización no requiere reiniciar el sistema. Si se están usando los archivos necesarios, la actualización de seguridad requerirá que se reinicie el sistema. Si se produce este comportamiento, recibirá un mensaje pidiéndole que reinicie el sistema. |
|
Información sobre la eliminación |
Para quitar una actualización instalada mediante WUSA, utilice el modificador de configuración /Uninstall o haga clic en Panel de control, Sistema y seguridad, Windows Update, Actualizaciones instaladas en Vea también y seleccione la actualización de la lista de actualizaciones. |
|
Información de archivo |
Consulte el artículo 3170455 de Microsoft Knowledge Base. |
|
Comprobación de claves del Registro |
Nota No hay una clave de Registro para validar la presencia de esta actualización. |
Tabla de referencia de Windows RT 8.1 (todas las ediciones) La tabla siguiente contiene la información de actualización de seguridad de este software.
|
Implementación |
Esta actualización está disponible solo a través de Windows Update. |
|
Requisito de reinicio |
En algunos casos, esta actualización no requiere reiniciar el sistema. Si se están usando los archivos necesarios, la actualización de seguridad requerirá que se reinicie el sistema. Si se produce este comportamiento, recibirá un mensaje pidiéndole que reinicie el sistema. |
|
Información de eliminación |
Haga clic en Panel de control, Sistema y seguridad, Windows Update y luego, en Vea también, en Actualizaciones instaladas. Luego seleccione la actualización en la lista de actualizaciones. |
|
Información de archivo |
Consulte el artículo 3170455 de Microsoft Knowledge Base. |
Tabla de referencia de Windows 10 (todas las ediciones) La tabla siguiente contiene la información de actualización de seguridad de este software.
|
Nombre del archivo de la actualización de seguridad |
Para todas las ediciones de Windows 10 de 32 bits compatibles: Windows10.0-KB3163912-x86.msu |
|
Para todas las ediciones de Windows 10 basadas en x64 bits compatibles: Windows10.0-KB3163912-x64.msu |
|
|
Para todas las ediciones de Windows 10, versión 1511, de 32 bits compatibles: Windows10.0-KB3172985-x86.msu |
|
|
Para todas las ediciones de Windows 10, versión 1511, basadas en x64 bits compatibles: Windows10.0-KB3172985-x64.msu |
|
|
Parámetros de instalación |
Consulte el artículo 934307 de Microsoft Knowledge Base. |
|
Requisitos de reinicio |
En algunos casos, esta actualización no requiere reiniciar el sistema. Si se están usando los archivos necesarios, la actualización de seguridad requerirá que se reinicie el sistema. Si se produce este comportamiento, recibirá un mensaje pidiéndole que reinicie el sistema. |
|
Información sobre la eliminación |
Para quitar una actualización instalada mediante WUSA, utilice el modificador de configuración /Uninstall o haga clic en Panel de control, Sistema y seguridad, Windows Update, Actualizaciones instaladas en Vea también y seleccione la actualización de la lista de actualizaciones. |
|
Información de archivo |
Consulte el artículo 3163912 de Microsoft Knowledge Base Consulte el artículo 3172985 de Microsoft Knowledge Base |
|
Comprobación de claves del Registro |
Nota No hay una clave de Registro para validar la presencia de esta actualización. |
Ayuda para la instalación de actualizaciones: Soporte técnico de Microsoft Update Soluciones de seguridad para profesionales de TI: Soporte técnico y solución de problemas de seguridad de TechNet Ayuda para la protección de su equipo basado en Windows frente a virus y malware: Centro de seguridad y soluciones para virus Soporte local según el país: Soporte técnico internacional
