El pasado 10 de Julio del 2012, junto con las actualizaciones correspondientes a este mes, Microsoft ha publicado un aviso de seguridad sobre el problema de que vulnerabilidades en los gadgets en los sistemas operativos Windows 7 y Vista podrían permitir la ejecución remota de código. El aviso de seguridad contiene información adicional relacionada con la seguridad.

Microsoft en el Documento informativo sobre seguridad de Microsoft (2719662) informa que vulnerabilidades en los gadgets podrían permitir la ejecución remota de código anunciando además la disponibilidad de la solución Microsoft Fix it 50906 que deshabilita Windows Sidebar y los gadgets en ediciones compatibles de Windows Vista y Windows 7. El deshabilitar Windows Sidebar y los gadgets pueden ayudar a los usuarios a protegerse de vulnerabilidades que implican la ejecución de código arbitrario por parte de Windows Sidebar cuando se ejecutan gadgets no seguros. Además, los gadgets instalados provenientes de fuentes que no sean de confianza pueden dañar el equipo, acceder a los archivos del mismo, mostrarle contenido inapropiado o cambiar su comportamiento en cualquier momento.

Un atacante que consiguiera aprovechar la vulnerabilidad de los gadgets podría ejecutar código arbitrario en el contexto del usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un atacante podría lograr el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

La aplicación de la solución Microsoft Fix it 50906 descrita en el artículo 2719662 de Microsoft Knowledge Base deshabilita la Windows Sidebar y toda la funcionalidad de gadgets y la puede descargar desde el siguiente enlace.

Recomendación. Los usuarios de estos sistemas operativos afectados que se preocupan por los gadgets vulnerables o maliciosos deben aplicar la solución Fix It 50906 automatizada lo antes posible. Para obtener más información, vea la sección Acciones recomendadas del documento informativo de Microsoft.

Los sistemas operativos afectados son  los siguientes:

Windows 7 Service Pack 1, cuando se utiliza con:

  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Premium
  • Windows 7 Home Basic

Windows Vista Service Pack 2, cuando se utiliza con:

    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit Edition
    • Windows Vista Home Basic 64-bit Edition
    • Windows Vista Home Premium 64-bit Edition
    • Windows Vista Ultimate 64-bit Edition
    • Windows Vista Business 64-bit Edition

Windows Vista Service Pack 1, cuando se utiliza con:

    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit Edition
    • Windows Vista Home Basic 64-bit Edition
    • Windows Vista Home Premium 64-bit Edition
    • Windows Vista Ultimate 64-bit Edition
    • Windows Vista Business 64-bit Edition

Los sistemas operativos no afectados son los siguientes:

  • Windows XP Service Pack 3
  • Windows XP Professional x64 Edition Service Pack 2
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition Service Pack 2
  • Windows Server 2003 con SP2 para sistemas con Itanium
  • Windows Server 2008 para sistemas de 32 bits Service Pack 2
  • Windows Server 2008 para sistemas x64 Service Pack 2
  • Windows Server 2008 para sistemas con Itanium Service Pack 2
  • Windows Server 2008 R2 para sistemas x64
  • Windows Server 2008 R2 para sistemas x64 Service Pack 1
  • Windows Server 2008 R2 para sistemas con Itanium
  • Windows Server 2008 R2 para sistemas con Itanium Service Pack 1

Si a pesar del aviso de seguridad de que vulnerabilidades en los gadgets podrían permitir la ejecución remota de código después de aplicar la solución Microsoft Fix it 50906, Usted quiere restablecer la funcionalidad de Windows Sidebar y los gadgets debe aplicar la solución Microsoft Fix it 50907 descargándola desde el mismo enlace donde descargo la primera aplicación.

Mantenga actualizado el software de Microsoft

Los usuarios que ejecutan software de Microsoft deben aplicar las actualizaciones de seguridad más recientes para que sus equipos cuenten con el máximo nivel de protección posible. Si tiene dudas acerca de si su software está actualizado, visite Microsoft Update, explore las actualizaciones disponibles para el equipo e instale las actualizaciones importantes que se le ofrezcan. Si tiene habilitadas y configuradas las actualizaciones automáticas para los productos de Microsoft, las actualizaciones se entregan cuando se publican, pero Usted debe asegurarse de que están instaladas.

Fuente: Microsoft Technet Advisory 2719662