Aviso de Seguridad Microsoft 3009008 – Revisado el 29 de octubre de 2014 – vulnerabilidad en SSL 3.0 que podría permitir la divulgación de información

 ¿Cuál es el objetivo de esta alerta?

 Esta alerta es para notificarle que Microsoft ha revisado el Aviso de Seguridad 3009008 – Vulnerabilidad en SSL 3.0 que podría permitir la divulgación de información, el 29 de octubre de 2014, a fin de proporcionar más orientación a los clientes. 

Información de antecedentes sobre el Aviso de Seguridad 3009008 

El Aviso de Seguridad 3009008 fue publicado el 14 de octubre, 2014, para proporcionar orientación sobre una vulnerabilidad en SSL (Secure Sockets Layer) 3.0 que podría permitir la divulgación de información. Se trata de una vulnerabilidad que afecta el protocolo en sí mismo y no es un problema específico a ninguna implementación por parte de Microsoft, que podría permitir la divulgación de información.  

Nuevas Orientaciones Adicionales al Aviso de Seguridad 3009008  

El Aviso de Seguridad 3009008 fue revisado el 29 de octubre de 2014, para incluir una herramienta con clic sencillo [Fix-it] para que los clientes la utilicen para desactivar el SSL 3.0 en todas las versiones compatibles del Internet Explorer. 

Para ayudar a proteger a nuestros clientes además, Microsoft ha anunciado sus planes para deshabilitar el modo de respaldo de SSL 3.0 en Internet Explorer, y desactivar SSL 3.0 por padrón en Internet Explorer y a través de servicios en línea de Microsoft, en los próximos meses.

 

Calendario de los  próximos cambios de SSL 3.0 

A partir del 1 de diciembre de 2014, el Azure y Office 365 comenzarán al deshabilitar la compatibilidad con SSL 3.0. Esto significa que, a partir de 1 diciembre, 2014, todos las combinaciones de clientes/ Internet Explorer, necesitarán utilizar el TLS 1.0 o superior para conectar a los servicios de Azure y Office 365. Esto puede requerir que ciertas combinaciones de clientes/ Internet Explorer sean actualizados. 

Aunque el análisis de las llamadas a los servicios en línea de Microsoft muestra que muy pocos clientes aún utilizan SSL 3.0, estamos proporcionando a los clientes con anticipación este cambio con el fin de actualizar a los clientes afectados antes de que ocurra la desactivación de SSL 3.0.

 

 Recomendaciones 

El Aviso de Seguridad 3009008 contiene enlaces de recursos y orientación para los clientes y los administradores con el fin de garantizar que los clientes utilicen el TLS 1.0 o superior y para desactivar el SSL 3.0 de forma proactiva.   

Vea el  Aviso de Seguridad  3009008, el blog  de Microsoft Office, el blog  de Microsoft Azure en los enlaces que aparecen a continuación para obtener más información, detalles sobre los componentes, factores atenuantes, la forma de aplicar las soluciones automatizadas, acciones sugeridas, preguntas frecuentes (FAQ), y enlaces a recursos adicionales.  

Recursos adicionales 

 

Con respecto a la consistencia de la información  

Nos esforzamos por ofrecerle información precisa en contenido estático (este correo) y dinámico (basado en la Web). El contenido de seguridad de Microsoft que se publica en la Web algunas veces se actualiza para reflejar la información de última hora. En caso de que haya inconsistencias entre la información que se presenta en este documento y la información del contenido de seguridad basado en la Web de Microsoft, la información del contenido de seguridad basado en la Web de Microsoft tendrá preponderancia.

 

Si tiene alguna pregunta acerca de esta alerta, por favor póngase en contacto con su Gerente de Cuenta Técnico.

 

Gracias,

 

Equipo de Seguridad CSS de  Microsoft