El pasado 10 de Julio del 2012, junto con las actualizaciones correspondientes a este mes, Microsoft ha publicado dos avisos de seguridad uno sobre el problema de que vulnerabilidades en los gadgets en los sistemas operativos Windows 7 y Vista podrían permitir la ejecución remota de código y en el otro el Documento informativo sobre seguridad de Microsoft (2728973) donde revoca 28 entidades subcertificadoras de Microsoft, en forma preventiva pues según informan los certificados digitales no autorizados podrían permitir la suplantación de identidad.

Microsoft tiene constancia de entidades emisoras de certificados de Microsoft que se encuentran fuera de los procedimientos de almacenamiento seguro recomendados. Tras una revisión de rutina, hemos colocado estos certificados en el almacén de certificados que no son de confianza y los hemos sustituido por entidades emisoras de certificados que cumplen nuestros elevados estándares en la administración de infraestructuras de clave pública (PKI). No tenemos constancia de que se haya producido ningún uso incorrecto de las entidades emisoras de certificados, pero estamos llevando a cabo acciones de prevención para proteger a los clientes. Este problema afecta a todas las versiones compatibles de Microsoft Windows.

Microsoft proporciona una actualización para todas las versiones compatibles de Microsoft Windows. La actualización coloca los siguientes certificados de CA intermedios en el almacén de certificados que no son de confianza:

  • Microsoft Genuine Windows Phone Public Preview CA01
  • Microsoft IPTVe CA
  • Microsoft Online CA001
  • Microsoft Online Svcs BPOS APAC CA1
  • Microsoft Online Svcs BPOS APAC CA2
  • Microsoft Online Svcs BPOS APAC CA3
  • Microsoft Online Svcs BPOS APAC CA4
  • Microsoft Online Svcs BPOS APAC CA5
  • Microsoft Online Svcs BPOS APAC CA6
  • Microsoft Online Svcs BPOS CA1
  • Microsoft Online Svcs BPOS CA2
  • Microsoft Online Svcs BPOS CA2 (2 certificados)
  • Microsoft Online Svcs BPOS EMEA CA1
  • Microsoft Online Svcs BPOS EMEA CA2
  • Microsoft Online Svcs BPOS EMEA CA3
  • Microsoft Online Svcs BPOS EMEA CA4
  • Microsoft Online Svcs BPOS EMEA CA5
  • Microsoft Online Svcs BPOS EMEA CA6
  • Microsoft Online Svcs CA1 (2 certificados)
  • Microsoft Online Svcs CA3 (2 certificados)
  • Microsoft Online Svcs CA4 (2 certificados)
  • Microsoft Online Svcs CA5 (2 certificados)
  • Microsoft Online Svcs CA6

Recomendación. Para las versiones compatibles de Microsoft Windows, Microsoft recomienda a sus clientes que apliquen la actualización inmediatamente. Por el momento esta actualización es manual y para descargar los paquetes tiene primero que hacer clic en el enlace del artículo 2728973 de Microsoft Knowledge Base, una vez allí descargue el paquete adecuado a su sistema operativo pues para Windows XP y Windows Server 2003 es un paquete distinto al de los demás sistemas operativos.

Recuerde que su sistema debe ser genuino pues antes de descargar el paquete se descarga la aplicación GenuineCheck.exe la cual le dará el código que deberá introducir para Validar el sistema y poder proceder a descargar  la aplicación rvkroots.exe. Una vez descargada corra la aplicación y si le pide la contraseña del administrador del sistema proporciónela para que surta efecto la actualización.

Los sistemas operativos afectados son los siguientes:

  • Windows XP Service Pack 3
  • Windows XP Professional x64 Edition Service Pack 2
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition Service Pack 2
  • Windows Server 2003 con SP2 para sistemas con Itanium
  • Windows Vista Service Pack 2
  • Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 para sistemas de 32 bits Service Pack 2
  • Windows Server 2008 para sistemas x64 Service Pack 2
  • Windows Server 2008 para sistemas con Itanium Service Pack 2
  • Windows 7 para sistemas de 32 bits
  • Windows 7 para sistemas de 32 bits Service Pack 1
  • Windows 7 para sistemas x64
  • Windows 7 para sistemas x64 Service Pack 1
  • Windows Server 2008 R2 para sistemas x64
  • Windows Server 2008 R2 para sistemas x64 Service Pack 1
  • Windows Server 2008 R2 para sistemas con Itanium
  • Windows Server 2008 R2 para sistemas con Itanium Service Pack 1Opción de instalación Server Core
  • Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación de Server Core)
  • Windows Server 2008 para sistemas x64 Service Pack 2 (instalación de Server Core)
  • Windows Server 2008 R2 para sistemas x64 (instalación de Server Core)
  • Windows Server 2008 R2 para sistemas x64 Service Pack 1 (instalación de Server Core)

Fuente: Microsoft Technet Advisory 2728973