Boletín de seguridad de Microsoft MS07-048 - Importante

Vulnerabilidades en gadgets de Windows podrían permitir la ejecución remota de código (938123)

Publicado: agosto 14, 2007

Versión: 1.0

Información general

Resumen ejecutivo

Esta actualización de seguridad importante resuelve dos vulnerabilidades de las que se ha informado de forma privada, además de otras vulnerabilidades detectadas durante la investigación. Estas vulnerabilidades podrían permitir a un atacante remoto anónimo ejecutar código con los privilegios del usuario que ha iniciado la sesión. Si un usuario se ha suscrito a una fuente RSS malintencionada de RSS del gadget Encabezados de la fuente, ha agregado un archivo de contactos malintencionado en el gadget Contactos o ha hecho clic en un vínculo malintencionado del gadget El tiempo, un atacante podría ejecutar código en el sistema. En todos los casos de ataque, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Se trata de una actualización de seguridad importante para todas las ediciones compatibles de Windows Vista. Para obtener más información, consulte la subsección Software afectado y no afectado, en esta sección.

Esta actualización de seguridad corrige la vulnerabilidad al mejorar el código de validación en los gadgets Encabezados de la fuente y Contactos. En el documento Inspeccionar los gadgets se describen los procedimientos recomendados y seguros que se deben seguir al crear gadgets. Para obtener más información acerca de la vulnerabilidad, consulte la subsección Preguntas más frecuentes (P+F) de la entrada de vulnerabilidad específica en la sección siguiente, Información sobre la vulnerabilidad.

Recomendación: Microsoft recomienda a sus clientes que apliquen la actualización de seguridad.

Problemas conocidos: En el artículo 938123 de Microsoft Knowledge Base se señalan los problemas detectados que pueden experimentar los clientes al instalar esta actualización de seguridad. Se documentan asimismo las soluciones propuestas.

Top of sectionTop of section

Software afectado y no afectado

El software que se enumera aquí se ha probado para determinar las versiones o ediciones que están afectadas. Otras versiones o ediciones han llegado al final de su ciclo de vida o no están afectadas. Para determinar el ciclo de vida del soporte técnico de su versión o edición de software, visite Ciclo de vida del soporte técnico de Microsoft.

Software afectado

Sistema operativoRepercusión de seguridad máximaClasificación de gravedad acumuladaBoletines reemplazados por esta actualización

Windows Vista

Ejecución remota de código

Importante

Ninguna

Windows Vista x64 Edition

Ejecución remota de código

Importante

Ninguna

Top of sectionTop of section

Preguntas más frecuentes (P+F) relacionadas con esta actualización de seguridad

¿Cuáles son los problemas detectados que pueden experimentar los clientes al instalar esta actualización de seguridad?
En el artículo 938123 de Microsoft Knowledge Base se señalan los problemas detectados que pueden experimentar los clientes al instalar esta actualización de seguridad. Se documentan asimismo las soluciones propuestas.

¿Por qué soluciona esta actualización varios problemas de vulnerabilidad de seguridad detectados? 
Esta actualización soluciona varias vulnerabilidades porque las modificaciones para estos problemas se encuentran en archivos relacionados. En lugar de instalar varias actualizaciones que son prácticamente la misma, basta con que los clientes instalen sólo esta actualización.

¿Contiene esta actualización algún cambio en relación con la seguridad en su funcionalidad?  
Sí. Además de los cambios enumerados en la subsección Preguntas más frecuentes (P+F) de la entrada de vulnerabilidad específica en la sección Información sobre la vulnerabilidad del boletín, esta actualización incluye mejorars defensivas en el gadget Cotizaciones de Windows.

Top of sectionTop of section

Información sobre la vulnerabilidad

Gravedad e identificadores de vulnerabilidad

Software afectadoVulnerabilidad de ejecución remota de código en el gadget Encabezados de la fuente de Windows Vista (CVE-2007-3033)Vulnerabilidad de ejecución remota de código en el gadget Contactos de Windows Vista (CVE-2007-3032)Vulnerabilidad de ejecución remota de código en el gadget El tiempo de Windows Vista (CVE-2007-3891)Clasificación de gravedad acumulada

Windows Vista

Importante 
Ejecución remota de código

Moderada 
Ejecución remota de código

Moderada 
Ejecución remota de código

Importante

Windows Vista x64 Edition

Importante 
Ejecución remota de código

Moderada 
Ejecución remota de código

Moderada 
Ejecución remota de código

Importante

Top of sectionTop of section

El gadget Encabezados de la fuente de Windows Vista podría permitir la ejecución remota de código (CVE-2007-3033)

Existe una vulnerabilidad de ejecución remota de código en el gadget Encabezados de la fuente de Windows Vista que podría permitir a un atacante anónimo remoto ejecutar código con los privilegios del usuario que ha iniciado la sesión.

Para ver esta vulnerabilidad como una entrada estándar en la lista de vulnerabilidades y exposiciones comunes, consulte CVE-2007-3033.

Factores atenuantes para la vulnerabilidad del gadget Encabezados de la fuente de Windows Vista que podría permitir la ejecución remota de código (CVE-2007-3033)

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de esta vulnerabilidad. El siguiente factor atenuante podría ser útil en su situación:

El usuario se tiene que suscribir a una fuente RSS que no sea de confianza o que sea vulnerable en el gadget Encabezados de la fuente mediante Internet Explorer.

Top of sectionTop of section

Soluciones provisionales para la vulnerabilidad del gadget Encabezados de la fuente de Windows Vista que podría permitir la ejecución remota de código (CVE-2007-3033)

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

Deshabilitar el gadget Encabezados de la fuente:

Para deshabilitar el gadget Encabezados de la fuente, siga estos pasos:

1.

Haga clic con el botón secundario en Sidebar.

2.

Seleccione Propiedades en el menú.

3.

En el cuadro diálogo de Propiedades de Windows Sidebar, haga clic en el botón Ver lista de gadgets en ejecución.

4.

Seleccione el gadget Encabezados de la fuente y haga clic en el botón Quitar.

Consecuencias de la solución provisional: El gadget Encabezados de la fuente está deshabilitado.

Desinstalar el gadget Encabezados de la fuente:

Para desinstalar el gadget Encabezados de la fuente, siga estos pasos:

Haga clic con el botón secundario en Sidebar.

Seleccione Agregar gadgets... en el menú.

Haga clic con el botón secundario en el gadget Encabezados de la fuente.

Seleccione Desinstalar en el menú.

Consecuencias de la solución provisional: El gadget Encabezados de la fuente se desinstalará.

Modificar la lista de control de acceso en gadget.xml y activar más restricciones:

Es posible que al aplicar esta solución provisional se produzcan errores en la instalación de las actualizaciones de seguridad proporcionadas con este boletín de seguridad.

Siga estos pasos para modificar la lista de control de acceso (ACL) en gadget.xml y activar más restricciones:

1.

Haga clic en Inicio, Todos los programas y Accesorios; haga clic con el botón secundario en Símbolo del sistema, haga clic en Ejecutar como administrador y, a continuación, haga clic en Continuar.

2.

Escriba el comando siguiente en el símbolo del sistema:

cd %ProgramFiles%\Windows Sidebar\Gadgets\RSSFeeds.Gadget\en-US

3.

Escriba el siguiente comando en el símbolo del sistema y anote las ACL actuales que hay en el archivo (incluida la configuración de herencia) para referencia posterior para deshacer esta modificación:

takeown /f gadget.xml

4.

Escriba el comando siguiente en el símbolo del sistema para la ACL del gadget Encabezados de la fuente. Anote las ACL actuales que hay en el archivo (incluida la configuración de herencia) para referencia posterior si tiene que deshacer esta modificación:

icacls gadget.xml /deny Everyone:(R,RX)

5.

Debe cerrar el sistema o el proceso sidebar.exe después de aplicar esta solución provisional.

Consecuencias de la solución provisional: El gadget Encabezados de la fuente está deshabilitado.

Deshabilitar Sidebar en la directiva de grupo

Para deshabilitar Sidebar en la directiva de grupo, siga estos pasos:

1.

Haga clic en Inicio, en Ejecutar, escriba “gpedit.msc” y, a continuación, haga clic en Continuar.

2.

En Directiva de equipo local\Configuración del equipo haga doble clic en Plantillas administrativas, en Componentes de Windows y, a continuación, en Windows Sidebar.

3.

Cambie el valor de la opción Desactivar Windows Sidebar a Habilitado.

4.

Haga clic con el botón secundario en Desactivar Windows Sidebar.

5.

Seleccione Propiedades en el menú.

6.

Seleccione el botón de opción Habilitado.

7.

Debe cerrar el sistema o el proceso sidebar.exe después de aplicar esta solución provisional.

Consecuencias de la solución provisional: Sidebar se ha deshabilitado.

Deshabilitar Sidebar en el Registro del sistema

La deshabilitación de Sidebar mediante la creación de una nueva clave del Registro ayuda a proteger el sistema afectado frente a los intentos de aprovechar esta vulnerabilidad. Para crear una nueva clave del Registro para Sidebar, siga los pasos que se indican a continuación.

Nota: el uso incorrecto del Editor del Registro puede originar problemas graves que conlleven la reinstalación del sistema operativo. Microsoft no garantiza que los problemas derivados del uso incorrecto del Editor del Registro puedan resolverse. El uso del Editor del Registro es responsabilidad suya. Para obtener información sobre cómo editar el Registro, consulte el tema “Cambiar claves y valores” de la Ayuda del Editor del Registro (Regedit.exe) o los temas “Agregar y eliminar valores del Registro” y “Editar valores del Registro” de la Ayuda de Regedt32.exe.

Nota: Es recomendable realizar una copia de seguridad del Registro antes de modificarlo.

1.

Haga clic en Inicio, en Ejecutar, escriba “regedit” (sin las comillas) y haga clic en Continuar.

2.

Expanda HKEY_LOCAL_MACHINE, SOFTWARE, Microsoft, Windows, CurrentVersion y, a continuación, Policies.

3.

Haga clic con el botón secundario en Policies, seleccione Nuevo, elija Clave y, a continuación, escriba Windows como nombre de archivo.

4.

Haga clic con el botón secundario en Windows, seleccione Nuevo, elija Clave y, a continuación, escriba Sidebar como nombre de archivo.

5.

Haga clic con el botón secundario en Sidebar, seleccione Nuevo, elija Valor de DWORD (32 bits) y, a continuación, escriba TurnOffSidebar como Nombre.

6.

Haga clic con el botón derecho en TurnOffSidebar y, a continuación, cambie Información del valor: a 1.

7.

Debe cerrar el sistema o el proceso sidebar.exe después de aplicar esta solución provisional.

Consecuencias de la solución provisional: Sidebar se ha deshabilitado.

Top of sectionTop of section

Preguntas más frecuentes sobre la vulnerabilidad del gadget Encabezados de la fuente de Windows Vista que podría permitir la ejecución remota de código (CVE-2007-3033)

¿Cuál es el alcance de esta vulnerabilidad?
Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código en el sistema vulnerable.

¿Cuál es la causa de esta vulnerabilidad?
El gadget Encabezados de la fuente no realiza la validación suficiente al analizar los atributos HTML.

¿Para qué puede usar un atacante esta vulnerabilidad?
Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código en el sistema afectado.

¿Cómo podría aprovechar un atacante la vulnerabilidad?
El gadget Encabezados de la fuente se instala y habilita en Windows Vista de forma predeterminada. El usuario se tiene que suscribir a una fuente RSS en el gadget Encabezados de la fuente mediante Internet Explorer. Después de suscribirse a una fuente, un atacante debe enviar una publicación RSS especialmente diseñada mediante la suscripción existente para atacar el sistema. Un atacante podría ejecutar código en el contexto del usuario que ha iniciado la sesión desde la fuente malintencionada o especialmente diseñada a través de Internet.

¿Qué es un gadget?
Los gadgets son miniaplicaciones diseñadas para proporcionar información o utilidades al usuario. Windows Vista trata los gadgets del mismo modo que todo el código ejecutable. Los gadgets se escriben con HTML y secuencias de comandos, pero este código HTML no se encuentra en un servidor remoto arbitrario, como se encuentran las páginas web. El contenido HTML del gadget se descarga primero como parte de un paquete de recursos y archivos de configuración y, a continuación, se ejecutan desde el equipo local. Este proceso de descarga es semejante a las aplicaciones (archivos .exe) descargados de Internet.

¿Puede aprovecharse esta vulnerabilidad a través de Internet?
Sí, esta vulnerabilidad se puede aprovechar a través de Internet después de que el usuario se haya suscrito a una fuente RSS malintencionada en el gadget Encabezados de la fuente o si un atacante ha puesto en peligro una fuente de confianza.

¿Qué sistemas están más expuestos a esta vulnerabilidad?
Cualquier sistema Windows Vista donde el gadget Encabezados de la fuente esté habilitada y se hayan suscrito fuentes RSS.

¿Cómo funciona esta actualización?
La actualización elimina la vulnerabilidad al agregar comprobaciones adicionales en los atributos HTML en el gadget Encabezados de la fuente.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

Top of sectionTop of section
Top of sectionTop of section

El gadget Contactos de Windows Vista podría permitir la ejecución de código (CVE-2007-3032)

Existe una vulnerabilidad de ejecución de código en el gadget Encabezados de la fuente de Windows Vista que podría permitir a un atacante ejecutar código con los privilegios del usuario que ha iniciado la sesión.

Para ver esta vulnerabilidad como una entrada estándar en la lista de vulnerabilidades y exposiciones comunes, consulte CVE-2007-3032.

Factores atenuantes para la vulnerabilidad del gadget Contactos de Windows Vista que podría permitir la ejecución de código (CVE-2007-3032)

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de esta vulnerabilidad. El siguiente factor atenuante podría ser útil en su situación:

El gadget Contactos no está habilitado de forma predeterminada. Para que esta vulnerabilidad se aproveche, el usuario debe agregar el gadget Contactos a Windows Sidebar.

Cuando el gadget Contactos está habilitado, el usuario debe agregar o importar los contactos malintencionados especialmente diseñados de un atacante.

Top of sectionTop of section

Soluciones provisionales para la vulnerabilidad del gadget Contactos de Windows Vista que podría permitir la ejecución de código (CVE-2007-3032)

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

Deshabilitar el gadget Contactos:

Para deshabilitar el gadget Contactos, siga estos pasos:

1.

Haga clic con el botón secundario en Sidebar.

2.

Seleccione Propiedades en el menú.

3.

En el cuadro diálogo de Propiedades de Windows Sidebar, haga clic en el botón Ver lista de gadgets en ejecución.

4.

Seleccione el gadget Contactos y haga clic en el botón Quitar.

Consecuencias de la solución provisional: El gadget Contactos está deshabilitado.

Desinstalar el gadget Contactos:

Para desinstalar el gadget Contactos, siga estos pasos:

1.

Haga clic con el botón secundario en Sidebar.

2.

Seleccione Agregar gadgets... en el menú.

3.

Haga clic con el botón secundario en el gadget Contactos.

4.

Seleccione Desinstalar en el menú.

Consecuencias de la solución provisional: El gadget Contactos se desinstalará.

Modificar la lista de control de acceso en gadget.xml y activar más restricciones:

Es posible que al aplicar esta solución provisional se produzcan errores en la instalación de las actualizaciones de seguridad proporcionadas con este boletín de seguridad.

Siga estos pasos para modificar la lista de control de acceso (ACL) en gadget.xml y activar más restricciones:

1.

Haga clic en Inicio, Todos los programas y Accesorios; haga clic con el botón secundario en Símbolo del sistema, haga clic en Ejecutar como administrador y, a continuación, haga clic en Continuar.

2.

Escriba el comando siguiente en el símbolo del sistema:

cd %ProgramFiles%\Windows Sidebar\Gadgets\Contacts.Gadget\en-US

3.

Escriba el siguiente comando en el símbolo del sistema y anote las ACL que hay en el archivo (incluyendo configuraciones heredadas) para referencia posterior para deshacer esta modificación:

takeown /f gadget.xml

4.

Escriba el comando siguiente en el símbolo del sistema para la ACL del gadget Contactos. Anote las ACL actuales que hay en el archivo (incluida la configuración de herencia) para referencia posterior si tiene que deshacer esta modificación:

icacls gadget.xml /deny Everyone:(R,RX)

5.

Debe cerrar el sistema o el proceso sidebar.exe después de aplicar esta solución provisional.

Consecuencias de la solución provisional: El gadget Contactos está deshabilitado.

Deshabilitar Sidebar en la directiva de grupo

Para deshabilitar Sidebar en la directiva de grupo, siga estos pasos:

1.

Haga clic en Inicio, en Ejecutar, escriba “gpedit.msc” y, a continuación, haga clic en Continuar.

2.

En Directiva de equipo local\Configuración del equipo haga doble clic en Plantillas administrativas, en Componentes de Windows y, a continuación, en Windows Sidebar.

3.

Cambie el valor de la opción Desactivar Windows Sidebar a Habilitado.

4.

Haga clic con el botón secundario en Desactivar Windows Sidebar.

5.

Seleccione Propiedades en el menú.

6.

Seleccione el botón de opción Habilitado.

7.

Debe cerrar el sistema o el proceso sidebar.exe después de aplicar esta solución provisional.

Consecuencias de la solución provisional: Sidebar se ha deshabilitado.

Deshabilitar Sidebar en el Registro del sistema

La deshabilitación de Sidebar mediante la creación de una nueva clave del Registro ayuda a proteger el sistema afectado frente a los intentos de aprovechar esta vulnerabilidad. Para crear una nueva clave del Registro para Sidebar, siga los pasos que se indican a continuación.

Nota: el uso incorrecto del Editor del Registro puede originar problemas graves que conlleven la reinstalación del sistema operativo. Microsoft no garantiza que los problemas derivados del uso incorrecto del Editor del Registro puedan resolverse. El uso del Editor del Registro es responsabilidad suya. Para obtener información sobre cómo editar el Registro, consulte el tema “Cambiar claves y valores” de la Ayuda del Editor del Registro (Regedit.exe) o los temas “Agregar y eliminar valores del Registro” y “Editar valores del Registro” de la Ayuda de Regedt32.exe.

Nota: Es recomendable realizar una copia de seguridad del Registro antes de modificarlo.

1.

Haga clic en Inicio, en Ejecutar, escriba “regedit” (sin las comillas) y haga clic en Continuar.

2.

Expanda HKEY_LOCAL_MACHINE, SOFTWARE, Microsoft, Windows, CurrentVersion y, a continuación, Policies.

3.

Haga clic con el botón secundario en Policies, seleccione Nuevo, elija Clave y, a continuación, escriba Windows como nombre de archivo.

4.

Haga clic con el botón secundario en Windows, seleccione Nuevo, elija Clave y, a continuación, escriba Sidebar como nombre de archivo.

5.

Haga clic con el botón secundario en Sidebar, seleccione Nuevo, elija Valor de DWORD (32 bits) y, a continuación, escriba TurnOffSidebar como Nombre.

6.

Haga clic con el botón derecho en TurnOffSidebar y, a continuación, cambie Información del valor: a 1.

7.

Debe cerrar el sistema o el proceso sidebar.exe después de aplicar esta solución provisional.

Consecuencias de la solución provisional: Sidebar se ha deshabilitado.

Top of sectionTop of section

Preguntas más frecuentes sobre la vulnerabilidad del gadget Contactos de Windows Vista que podría permitir la ejecución de código (CVE-2007-3032)

¿Cuál es el alcance de esta vulnerabilidad?
Se trata de una vulnerabilidad de ejecución de código. Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código en el sistema vulnerable en el contexto del usuario que ha iniciado sesión.

¿Cuál es la causa de esta vulnerabilidad?
El gadget Contactos no realiza la validación suficiente de los contactos al importarlos.

¿Para qué puede usar un atacante esta vulnerabilidad?
Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código en el sistema afectado en el contexto del usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad?
Aunque el gadget Contactos se instala en Windows Vista, no se habilita de forma predeterminada. El usuario debe habilitar el gadget Contactos. A continuación, un atacante tendría que enviar un contacto especialmente diseñado a un sistema afectado o convencer al usuario para que visitara una página web que permitiera la descarga del contacto especialmente diseñado. El usuario tendría que agregar el contacto malintencionado. Después de agregar o importar el contacto, el atacante podría ejecutar código en el contexto del usuario que ha iniciado la sesión cuando se seleccionara el contacto o si éste fuera el primer contacto de la lista.

¿Qué es un gadget?
Los gadgets son miniaplicaciones diseñadas para proporcionar información o utilidades al usuario. Windows Vista trata los gadgets del mismo modo que otro código ejecutable. Los gadgets se escriben con HTML y secuencias de comandos, pero este código HTML no se encuentra en un servidor remoto arbitrario, como se encuentran las páginas web. El contenido HTML del gadget se descarga primero como parte de un paquete de recursos y archivos de configuración y, a continuación, se ejecutan desde el equipo local. Este proceso de descarga es semejante a las aplicaciones (archivos .exe) descargados de Internet.

¿Puede aprovecharse esta vulnerabilidad a través de Internet?
Sí, esta vulnerabilidad se podría aprovechar a través de Internet si un usuario agrega o importa el archivo de contactos malintencionado desde Internet al gadget Contactos. El contacto se tendría que seleccionar o ser el primero de la lista.

¿Qué sistemas están más expuestos a esta vulnerabilidad?
Cualquier sistema Windows Vista donde el gadget Contactos está habilitado está expuesto a esta vulnerabilidad.

¿Cómo funciona esta actualización?
La actualización elimina la vulnerabilidad al agregar comprobaciones adicionales en los contactos importados al gadget Contactos.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

Top of sectionTop of section
Top of sectionTop of section

El gadget El tiempo de Windows Vista podría permitir la ejecución remota de código (CVE-2007-3891)

Existe una vulnerabilidad de ejecución remota de código en el gadget El tiempo de Windows Vista que podría permitir a un atacante ejecutar código con los privilegios del usuario que ha iniciado la sesión.

Para ver esta vulnerabilidad como una entrada estándar en la lista de vulnerabilidades y exposiciones comunes, consulte CVE-2007-3891.

Factores atenuantes para la vulnerabilidad del gadget El tiempo de Windows Vista que podría permitir la ejecución remota de código (CVE-2007-3891)

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de esta vulnerabilidad. El siguiente factor atenuante podría ser útil en su situación:

Los vínculos no están visibles en la vista predeterminada del gadget El tiempo. Para ver los vínculos en el gadget El tiempo el usuario debe arrastrar y colocar dicho gadget en el escritorio.

Los servicios meteorológicos que proporciona el gadget El tiempo no están disponibles en todas las regiones geográficas.

Top of sectionTop of section

Soluciones provisionales para la vulnerabilidad del gadget El tiempo de Windows Vista que podría permitir la ejecución remota de código (CVE-2007-3891)

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

Deshabilitar el gadget El tiempo:

Para deshabilitar el gadget El tiempo, siga estos pasos:

1.

Haga clic con el botón secundario en Sidebar.

2.

Seleccione Propiedades en el menú.

3.

En el cuadro diálogo de Propiedades de Windows Sidebar, haga clic en el botón Ver lista de gadgets en ejecución.

4.

Seleccione el gadget El tiempo y haga clic en el botón Quitar.

Consecuencias de la solución provisional: El gadget El tiempo está deshabilitado.

Desinstalar el gadget El tiempo:

Para desinstalar el gadget El tiempo, siga estos pasos:

Haga clic con el botón secundario en Sidebar.

Seleccione Agregar gadgets... en el menú.

Haga clic con el botón secundario en el gadget El tiempo.

Seleccione Desinstalar en el menú.

Consecuencias de la solución provisional: El gadget El tiempo se desinstalará.

Modificar la lista de control de acceso en gadget.xml y activar más restricciones:

Es posible que al aplicar esta solución provisional se produzcan errores en la instalación de las actualizaciones de seguridad proporcionadas con este boletín de seguridad.

Siga estos pasos para modificar la lista de control de acceso (ACL) en gadget.xml y activar más restricciones:

1.

Haga clic en Inicio, Todos los programas y Accesorios; haga clic con el botón secundario en Símbolo del sistema, haga clic en Ejecutar como administrador y, a continuación, haga clic en Continuar.

2.

Escriba el comando siguiente en el símbolo del sistema:

cd %ProgramFiles%\Windows Sidebar\Gadgets\Weather.Gadget\en-US

3.

Escriba el siguiente comando en el símbolo del sistema y anote las ACL actuales que hay en el archivo (incluida la configuración de herencia) para referencia posterior para deshacer esta modificación:

takeown /f gadget.xml

4.

Escriba el comando siguiente en el símbolo del sistema para la ACL del gadget El tiempo. Anote las ACL actuales que hay en el archivo (incluida la configuración de herencia) para referencia posterior si tiene que deshacer esta modificación:

icacls gadget.xml /deny Everyone:(R,RX)

5.

Debe cerrar el sistema o el proceso sidebar.exe después de aplicar esta solución provisional.

Consecuencias de la solución provisional: El gadget El tiempo está deshabilitado.

Deshabilitar Sidebar en la directiva de grupo

Para deshabilitar Sidebar en la directiva de grupo, siga estos pasos:

1.

Haga clic en Inicio, en Ejecutar, escriba “gpedit.msc” y, a continuación, haga clic en Continuar.

2.

En Directiva de equipo local\Configuración del equipo haga doble clic en Plantillas administrativas, en Componentes de Windows y, a continuación, en Windows Sidebar.

3.

Cambie el valor de la opción Desactivar Windows Sidebar a Habilitado.

4.

Haga clic con el botón secundario en Desactivar Windows Sidebar.

5.

Seleccione Propiedades en el menú.

6.

Seleccione el botón de opción Habilitado.

7.

Debe cerrar el sistema o el proceso sidebar.exe después de aplicar esta solución provisional.

Consecuencias de la solución provisional: Sidebar se ha deshabilitado.

Deshabilitar Sidebar en el Registro del sistema

La deshabilitación de Sidebar mediante la creación de una nueva clave del Registro ayuda a proteger el sistema afectado frente a los intentos de aprovechar esta vulnerabilidad. Para crear una nueva clave del Registro para Sidebar, siga los pasos que se indican a continuación.

Nota El uso incorrecto del Editor del Registro puede originar problemas graves que conlleven la reinstalación del sistema operativo. Microsoft no garantiza que los problemas derivados del uso incorrecto del Editor del Registro puedan resolverse. El uso del Editor del Registro es responsabilidad suya. Para obtener información sobre cómo editar el Registro, consulte el tema “Cambiar claves y valores” de la Ayuda del Editor del Registro (Regedit.exe) o los temas “Agregar y eliminar valores del Registro” y “Editar valores del Registro” de la Ayuda de Regedt32.exe.

Nota: Es recomendable realizar una copia de seguridad del Registro antes de modificarlo.

1.

Haga clic en Inicio, en Ejecutar, escriba “regedit” (sin las comillas) y haga clic en Aceptar.

2.

Expanda HKEY_LOCAL_MACHINE, SOFTWARE, Microsoft, Windows, CurrentVersion y, a continuación, Policies.

3.

Haga clic con el botón secundario en Policies, seleccione Nuevo, elija Clave y, a continuación, escriba Windows como nombre de archivo.

4.

Haga clic con el botón secundario en Windows, seleccione Nuevo, elija Clave y, a continuación, escriba Sidebar como nombre de archivo.

5.

Haga clic con el botón secundario en Sidebar, seleccione Nuevo, elija Valor de DWORD (32 bits) y, a continuación, escriba TurnOffSidebar como Nombre.

6.

Haga clic con el botón derecho en TurnOffSidebar y, a continuación, cambie Información del valor: a 1.

7.

Debe cerrar el sistema o el proceso sidebar.exe después de aplicar esta solución provisional.

Consecuencias de la solución provisional: Sidebar se ha deshabilitado.

Top of sectionTop of section

Preguntas más frecuentes sobre la vulnerabilidad del gadget El tiempo de Windows Vista que podría permitir la ejecución remota de código (CVE-2007-3891)

¿Cuál es el alcance de esta vulnerabilidad?
Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código en el sistema vulnerable.

¿Cuál es la causa de esta vulnerabilidad?
El gadget El tiempo no realiza la validación suficiente al analizar los atributos HTML.

¿Para qué puede usar un atacante esta vulnerabilidad?
Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código en el sistema afectado.

¿Cómo podría aprovechar un atacante la vulnerabilidad?
Para aprovechar esta vulnerabilidad, el atacante tendría que poner en peligro la conexión del usuario y convencerlo para que hiciera clic en un vínculo malintencionado en el gadget El tiempo. Para ver los vínculos en el gadget El tiempo el usuario primero debe arrastrar y colocar dicho gadget en el escritorio. Los vínculos no están visibles en la vista predeterminada del gadget El tiempo.

¿Qué es un gadget?
Los gadgets son miniaplicaciones diseñadas para proporcionar información o utilidades al usuario. Windows Vista trata los gadgets del mismo modo que otro código ejecutable. Los gadgets se escriben con HTML y secuencias de comandos, pero este código HTML no se encuentra en un servidor remoto arbitrario, como se encuentran las páginas web. El contenido HTML del gadget se descarga primero como parte de un paquete de recursos y archivos de configuración y, a continuación, se ejecutan desde el equipo local. Este proceso de descarga es semejante a las aplicaciones (archivos .exe) descargados de Internet.

¿Puede aprovecharse esta vulnerabilidad a través de Internet?
No, un atacante anónimo no puede aprovechar esta vulnerabilidad a través de Internet.

¿Qué sistemas están más expuestos a esta vulnerabilidad?
Cualquier sistema Windows Vista donde el gadget El tiempo se ejecuta en el escritorio y los vínculos están visibles.

¿Cómo funciona esta actualización?
La actualización elimina la vulnerabilidad al agregar comprobaciones adicionales en los atributos HTML en el gadget El tiempo.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?
No.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

Top of sectionTop of section
Top of sectionTop of section

Información sobre la actualización

Herramientas y consejos para la detección e implementación

Administre el software y las actualizaciones de seguridad que necesite implementar en servidores, equipos de escritorio y equipos móviles en su organización. Para obtener más información visite el Centro de administración de actualizaciones de TechNet. El sitio Web Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft.

Las actualizaciones de seguridad están disponibles en Microsoft Update, Windows Update y Office Update. También hay actualizaciones de seguridad disponibles en el Centro de descarga de Microsoft. Si realiza una búsqueda de las palabras clave “revisión de seguridad” (security patch) podrá encontrarlas fácilmente. Finalmente, las actualizaciones de seguridad se pueden descargar del Catálogo de actualizaciones de Windows. Para obtener más información sobre el Catálogo de actualizaciones de Windows, consulte el artículo 323166 de Microsoft Knowledge Base.

Consejos para la detección y la implementación

Microsoft ofrece recomendaciones para la detección y la implementación de las actualizaciones de seguridad de este mes. Esta orientación también ayudará a los profesionales de TI a comprender el funcionamiento de distintas herramientas que sirven de ayuda en la implementación de la actualización de seguridad, como Windows Update, Microsoft Update, Office Update, Microsoft Baseline Security Analyzer (MBSA), Office Detection Tool, Microsoft Systems Management Server (SMS), Extended Security Update Inventory Tool y Enterprise Update Scan Tool (EST). Para obtener más información, consulte el artículo 910723 de Microsoft Knowledge Base.

Microsoft Baseline Security Analyzer

Esta herramienta permite a los administradores examinar sistemas remotos y locales para detectar las actualizaciones de seguridad que faltan así como las configuraciones de seguridad incorrectas más comunes. Para obtener más información acerca de MBSA, visite el sitio web Microsoft Baseline Security Analyzer. La tabla siguiente proporciona el resumen de detección MBSA correspondiente a esta actualización de seguridad.

SoftwareMBSA 1.2.1MBSA 2.0.1

Windows Vista

No

Vea Nota para Windows Vista más adelante

Windows Vista x64 Edition

No

Vea Nota para Windows Vista más adelante

Nota para WindowsVista Microsoft no admite la instalación de MBSA 2.0.1 en equipos que ejecuten Windows Vista, pero puede instalar MBSA 2.0.1 en sistema operativo compatible y, a continuación, analizar el equipo con Windows Vista de forma remota. Para obtener información adicional acerca de la compatibilidad de MBSA con Windows Vista, visite el sitio web de MBSA. Vea también el artículo 931943 de Microsoft Knowledge Base: Compatibilidad de Microsoft Baseline Security Analyzer (MBSA) para Windows Vista.

Windows Server Update Services

Windows Server Update Services (WSUS) permite a los administradores implementar las actualizaciones críticas y de seguridad más recientes en sistemas operativos Windows 2000 y versiones posteriores, Office XP y versiones posteriores, Exchange Server 2003 y SQL Server 2000 hasta Windows 2000 y sistemas operativos posteriores. Para obtener más información acerca de cómo implementar esta actualización de seguridad con Windows Server Update Services, visite el sitio web de Windows Server Update Services.

Systems Management Server

En la tabla siguiente se proporciona el resumen de detección e implementación de SMS correspondiente a esta actualización de seguridad.

SoftwareSMS 2.0SMS 2003

Windows Vista

No

Vea Nota para Windows Vista más adelante

Windows Vista x64 Edition

No

Vea Nota para Windows Vista más adelante

En cuanto a SMS 2.0, SMS puede usar el SMS SUS Feature Pack, que incluye la herramienta Security Update Inventory Tool (SUIT), para detectar actualizaciones de seguridad. SMS UIT usa el motor de MBSA 1.2.1 para la detección. Para obtener más información acerca de SUIT, visite el siguiente sitio web de Microsoft. Para obtener más información acerca de las limitaciones de SUIT, consulte el artículo 306460 de Microsoft Knowledge Base. SMS SUS Feature Pack incluye también la herramienta Microsoft Office Inventory Tool, que permite detectar las actualizaciones requeridas para las aplicaciones de Microsoft Office.

En cuanto a SMS 2003, SMS puede utilizar la herramienta SMS 2003 Inventory Tool for Microsoft Updates (ITMU) para detectar actualizaciones de seguridad proporcionadas por Microsoft Update y compatibles con Windows Server Update Services. Para obtener más información acerca de SMS 2003 ITMU, visite el siguiente sitio web de Microsoft. Además, SMS 2003 puede usar Microsoft Office Inventory Tool con el fin de detectar las actualizaciones requeridas para las aplicaciones de Microsoft Office.

Nota para WindowsVista Microsoft Systems Management Server 2003 con Service Pack 3 incluye compatibilidad con la capacidad de administración de Windows Vista.

Para obtener más información acerca de SMS, visite el sitio web de SMS.

Top of sectionTop of section

Implementación de la actualización de seguridad

Software afectado

Para obtener información sobre la actualización de seguridad específica para su software afectado, haga clic en el vínculo apropiado:

Windows Vista (todas las versiones)

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Inclusión en futuros Service Packs

La actualización para este problema puede incluirse en un conjunto de actualizaciones posterior

Implementación

 

Instalación sin intervención del usuario

Todas las ediciones de 32 bits compatibles de Windows Vista:
Windows6.0-kb938123-x86-enu /quiet
Todas las ediciones de 64 bits compatibles de Windows Vista:
Windows6.0-kb938123-x64-enu /quiet

Instalación sin reiniciar temporalmente

Todas las ediciones de 32 bits compatibles de Windows Vista:
Windows6.0-kb938123-x86-enu /norestart
Todas las ediciones de 64 bits compatibles de Windows Vista:
Windows6.0-kb938123-x64-enu /norestart

Información adicional

Vea la subsección Herramientas y consejos de detección e implementación de Microsoft

Requisito de reinicio

 

Se requiere reiniciar

Sí, debe reiniciar el sistema después de aplicar esta actualización de seguridad

Hotpatching

No aplicable

Información sobre la eliminación

Para quitar esta actualización, haga clic en Panel de control, en Seguridad y, a continuación, en Windows Update, haga clic en Ver actualizaciones instaladas y selecciónela en la lista de actualizaciones.

Información sobre archivos

Consulte en el apartado Información sobre archivos, más adelante, el manifiesto de archivo completo.

Nota: No existe una clave del Registro para validar la presencia de esta revisión. para detectar la presencia de la revisión, use Instrumental de administración de Windows (WMI).

Información sobre archivos

La versión en inglés de esta actualización de seguridad tiene los atributos de archivo indicados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en el horario universal coordinado (UTC). Cuando se consulta la información de archivo, ésta se convierte al horario local. Para averiguar la diferencia entre el horario universal coordinado y el local, utilice la ficha Zona horaria en la herramienta Fecha y hora del Panel de control.

Para todas las ediciones de 32 bits compatibles de Windows Vista:

Nombre de archivoFechaHoraTamañoCarpeta

Contacts.css

20-Jul-2007

02:28

1,167

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528

Contacts.HTML

20-Jul-2007

02:23

11,865

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528

Contacts.js

20-Jul-2007

02:25

22,763

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528

Gadget.xml

20-Jul-2007

02:20

1,026

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528

Contacts.css

20-Jul-2007

02:31

1,167

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.20644

Contacts.HTML

20-Jul-2007

02:26

11,865

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.20644

Contacts.js

20-Jul-2007

02:28

22,763

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.20644

Gadget.xml

20-Jul-2007

02:23

1,026

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.20644

Flyout.css

20-Jul-2007

02:25

3,072

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528

Flyout.HTML

20-Jul-2007

02:19

1,658

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528

Gadget.xml

20-Jul-2007

02:26

929

x86_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528

Rssfeeds.css

20-Jul-2007

02:32

2,842

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Rssfeeds.HTML

20-Jul-2007

02:24

9,748

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Rssfeeds.js

20-Jul-2007

02:20

100,116

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Settings.css

20-Jul-2007

02:23

1,254

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Settings.HTML

20-Jul-2007

02:24

3,324

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Settings.js

20-Jul-2007

02:27

5,914

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Flyout.css

20-Jul-2007

02:28

3,072

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644

Flyout.HTML

20-Jul-2007

02:22

1,658

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644

Gadget.xml

20-Jul-2007

02:29

929

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644

Rssfeeds.css

20-Jul-2007

02:35

2,842

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644

Rssfeeds.HTML

20-Jul-2007

02:27

9,748

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644

Rssfeeds.js

20-Jul-2007

02:24

100,116

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644

Settings.css

20-Jul-2007

02:26

1,254

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644

Settings.HTML

20-Jul-2007

02:27

3,324

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644

Settings.js

20-Jul-2007

02:30

5,914

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644

Docked.js

20-Jul-2007

02:21

201,350

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Gadget.xml

20-Jul-2007

02:30

889

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Localization.js

20-Jul-2007

02:29

4,234

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Settings.css

20-Jul-2007

02:30

1,474

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Settings.HTML

20-Jul-2007

02:29

3,954

x86_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Stocks.css

20-Jul-2007

02:17

6,202

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Stocks.HTML

20-Jul-2007

02:18

6,928

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Stocks.js

20-Jul-2007

02:20

80,502

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Undocked.js

20-Jul-2007

02:17

296,038

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Util.js

20-Jul-2007

02:24

20,874

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Docked.js

20-Jul-2007

02:24

201,350

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Gadget.xml

20-Jul-2007

02:33

889

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Localization.js

20-Jul-2007

02:31

4,234

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Settings.css

20-Jul-2007

02:33

1,474

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Settings.HTML

20-Jul-2007

02:32

3,954

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Stocks.css

20-Jul-2007

02:20

6,202

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Stocks.HTML

20-Jul-2007

02:21

6,928

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Stocks.js

20-Jul-2007

02:23

80,502

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Undocked.js

20-Jul-2007

02:20

296,038

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Util.js

20-Jul-2007

02:27

20,874

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Gadget.xml

20-Jul-2007

02:27

1,846

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Library.js

20-Jul-2007

02:31

36,084

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Localizedstrings.js

20-Jul-2007

02:22

5,406

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Settings.css

20-Jul-2007

02:25

8,306

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Settings.HTML

20-Jul-2007

02:28

5,078

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Settings.js

20-Jul-2007

02:23

44,870

x86_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Weather.css

20-Jul-2007

02:27

22,858

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528

Weather.HTML

20-Jul-2007

02:21

13,004

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528

Weather.js

20-Jul-2007

02:25

78,056

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528

Gadget.xml

20-Jul-2007

02:30

1,846

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644

Library.js

20-Jul-2007

02:34

36,084

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644

Localizedstrings.js

20-Jul-2007

02:25

5,406

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644

Settings.css

20-Jul-2007

02:28

8,306

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644

Settings.HTML

20-Jul-2007

02:31

5,078

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644

Settings.js

20-Jul-2007

02:26

44,870

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644

Weather.css

20-Jul-2007

02:30

22,858

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644

Weather.HTML

20-Jul-2007

02:24

13,004

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644

Weather.js

20-Jul-2007

02:28

78,056

x86_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644

Para todas las ediciones de 64 bits compatibles de Windows Vista:

Nombre de archivoFechaHoraTamañoCPUCarpeta

Contacts.css

20-Jul-2007

03:37

1,167

X64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528

Contacts.HTML

20-Jul-2007

03:33

11,865

X64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528

Contacts.js

20-Jul-2007

03:35

22,763

X64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528

Gadget.xml

20-Jul-2007

03:30

1,026

X64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528

Contacts.css

20-Jul-2007

03:29

1,167

X64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.20644

Contacts.HTML

20-Jul-2007

03:25

11,865

X64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.20644

Contacts.js

20-Jul-2007

03:27

22,763

X64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.20644

Gadget.xml

20-Jul-2007

03:22

1,026

X64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.20644

Flyout.css

20-Jul-2007

03:35

3,072

X64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528

Flyout.HTML

20-Jul-2007

03:29

1,658

X64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528

Gadget.xml

20-Jul-2007

03:35

929

X64

amd64_microsoft-windows-g..-contacts.resources_31bf3856ad364e35_6.0.6000.16528

Rssfeeds.css

20-Jul-2007

03:40

2,842

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Rssfeeds.HTML

20-Jul-2007

03:34

9,748

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Rssfeeds.js

20-Jul-2007

03:30

100,116

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Settings.css

20-Jul-2007

03:32

1,254

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Settings.HTML

20-Jul-2007

03:34

3,324

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Settings.js

20-Jul-2007

03:36

5,914

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Flyout.css

20-Jul-2007

03:27

3,072

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644

Flyout.HTML

20-Jul-2007

03:21

1,658

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644

Gadget.xml

20-Jul-2007

03:27

929

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644

Rssfeeds.css

20-Jul-2007

03:33

2,842

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644

Rssfeeds.HTML

20-Jul-2007

03:26

9,748

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644

Rssfeeds.js

20-Jul-2007

03:22

100,116

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644

Settings.css

20-Jul-2007

03:24

1,254

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644

Settings.HTML

20-Jul-2007

03:26

3,324

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644

Settings.js

20-Jul-2007

03:28

5,914

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.20644

Docked.js

20-Jul-2007

03:31

201,350

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Gadget.xml

20-Jul-2007

03:39

889

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Localization.js

20-Jul-2007

03:38

4,234

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Settings.css

20-Jul-2007

03:39

1,474

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Settings.HTML

20-Jul-2007

03:38

3,954

X64

amd64_microsoft-windows-g..edsgadget.resources_31bf3856ad364e35_6.0.6000.16528

Stocks.css

20-Jul-2007

03:27

6,202

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Stocks.HTML

20-Jul-2007

03:29

6,928

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Stocks.js

20-Jul-2007

03:30

80,502

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Undocked.js

20-Jul-2007

03:27

296,038

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Util.js

20-Jul-2007

03:33

20,874

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Docked.js

20-Jul-2007

03:23

201,350

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Gadget.xml

20-Jul-2007

03:31

889

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Localization.js

20-Jul-2007

03:30

4,234

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Settings.css

20-Jul-2007

03:31

1,474

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Settings.HTML

20-Jul-2007

03:30

3,954

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Stocks.css

20-Jul-2007

03:19

6,202

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Stocks.HTML

20-Jul-2007

03:21

6,928

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Stocks.js

20-Jul-2007

03:22

80,502

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Undocked.js

20-Jul-2007

03:19

296,038

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Util.js

20-Jul-2007

03:25

20,874

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.20644

Gadget.xml

20-Jul-2007

03:36

1,846

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Library.js

20-Jul-2007

03:40

36,084

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Localizedstrings.js

20-Jul-2007

03:32

5,406

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Settings.css

20-Jul-2007

03:35

8,306

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Settings.HTML

20-Jul-2007

03:37

5,078

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Settings.js

20-Jul-2007

03:33

44,870

X64

amd64_microsoft-windows-g..ts-stocks.resources_31bf3856ad364e35_6.0.6000.16528

Weather.css

20-Jul-2007

03:37

22,858

X64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528

Weather.HTML

20-Jul-2007

03:31

13,004

X64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528

Weather.js

20-Jul-2007

03:34

78,056

X64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.16528

Gadget.xml

20-Jul-2007

03:28

1,846

X64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644

Library.js

20-Jul-2007

03:32

36,084

X64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644

Localizedstrings.js

20-Jul-2007

03:24

5,406

X64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644

Settings.css

20-Jul-2007

03:26

8,306

X64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644

Settings.HTML

20-Jul-2007

03:29

5,078

X64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644

Settings.js

20-Jul-2007

03:25

44,870

X64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644

Weather.css

20-Jul-2007

03:28

22,858

X64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644

Weather.HTML

20-Jul-2007

03:23

13,004

X64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644

Weather.js

20-Jul-2007

03:26

78,056

X64

amd64_microsoft-windows-g..s-weather.resources_31bf3856ad364e35_6.0.6000.20644

Nota Para obtener una lista completa de las versiones compatibles, consulte el índice del ciclo de vida del soporte técnico. Para obtener una lista completa de los Service Packs, consulte Service Packs compatibles del ciclo de vida. Para obtener más información acerca de la directiva de ciclo de vida del soporte técnico, consulte Ciclo de vida del soporte técnico de Microsoft.

Top of sectionTop of section
Top of sectionTop of section

Información sobre la implementación

Instalación de la actualización

Al instalar esta actualización de seguridad, el programa de instalación comprueba si uno o más de los archivos que se van a actualizar en el sistema se han actualizado anteriormente mediante una revisión de Windows. Si ha instalado anteriormente una revisión para actualizar uno de estos archivos, el programa de instalación aplicará la versión LDR de esta actualización. De lo contrario, el programa de instalación aplicará la versión GDR de la actualización. La versión LDR de un archivo tiene un número de versión mayor que la versión GDR de un archivo. Para obtener más información acerca de este comportamiento, vea el artículo 824994 de Microsoft Knowledge Base. Para obtener más información acerca del instalador, vea el artículo 934307 de Microsoft Knowledge Base.

Para obtener más información acerca de los términos que aparecen en este boletín, como hotfix, consulte el artículo 824684 de Microsoft Knowledge Base.

Esta actualización de seguridad admite los parámetros de instalación que se indican a continuación.

Parámetros de instalación de la actualización de seguridad admitidos
ParámetroDescripción

/?, /h, /help

Muestra ayuda sobre los parámetros admitidos.

/quiet

Suprime la pantalla de estado o los mensajes de error.

/norestart

Cuando se combina con /quiet, el sistema no se reiniciará después de la instalación, incluso si se necesita un reinicio para terminar la instalación.

Nota Estos parámetros pueden combinarse en el mismo comando. Para mantener la compatibilidad con productos anteriores, esta actualización de seguridad también admite los parámetros de instalación que utiliza la versión anterior del programa de instalación. Para obtener más información acerca de los parámetros de instalación admitidos, lea el artículo 262841 de Microsoft Knowledge Base. Para obtener más información acerca del programa de instalación Update.exe, visite el sitio web de Microsoft TechNet. Para obtener más información acerca de los términos que aparecen en este boletín, como hotfix, consulte el artículo 824684 de Microsoft Knowledge Base.

Eliminación de la actualización

Para quitar esta actualización, utilice la herramienta Agregar o quitar programas, que se encuentra en el Panel de control.

Comprobación de que se ha aplicado la actualización

Microsoft Baseline Security Analyzer

Para comprobar que una actualización de seguridad se ha aplicado en un sistema afectado, puede tratar de utilizar la herramienta Baseline Security Analyzer (MBSA) de Microsoft. Consulte la sección Herramientas y consejos de detección e implementación, anteriormente en este boletín, para obtener más información.

Comprobación de la versión del archivo

Puesto que existen varias versiones de Microsoft Windows, los pasos que se indican a continuación pueden ser diferentes en su equipo. En tal caso, consulte la documentación del producto para ejecutar los pasos necesarios.

1.

Haga clic en Inicio y, después, en Buscar.

2.

En el panel Resultados de la búsqueda, haga clic en Todos los archivos y carpetas del Asistente para búsqueda.

3.

En el cuadro Todo o parte del nombre de archivo, escriba un nombre de archivo de la tabla de información de archivos correspondiente y, a continuación, haga clic en Buscar.

4.

En la lista de archivos, haga clic con el botón secundario del mouse en un nombre de archivo de la tabla de información de archivos correspondiente y, después, haga clic en Propiedades.

Nota Según la versión del sistema operativo o de los programas instalados, cabe la posibilidad de que algunos de los archivos enumerados en la tabla de información de archivos no estén instalados.

5.

En la ficha General, determine la fecha de modificación del archivo instalado en el equipo por comparación con la fecha de modificación documentada en la tabla de información de archivos correspondiente. Los archivos de este paquete no tienen números de versión. Solicitud:

Nota Los atributos distintos a la versión del archivo pueden cambiar durante la instalación. La comparación de otros atributos de los archivos con los datos de la tabla de información de archivos no constituye un método recomendado para comprobar que se haya aplicado la actualización. Sin embargo los archivos actualizados para esta revisión de seguridad no contienen información de versión de archivo, por lo que el uso de atributos de archivo para comprobar la actualización es un mecanismo de detección. En ciertos casos, el nombre de los archivos se puede cambiar durante la instalación. Si no aparece información de la versión o del archivo, recurra a otro de los métodos disponibles para comprobar la instalación de la actualización.

Top of sectionTop of section
Top of sectionTop of section

Información adicional:

Agradecimientos

Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

Aviv Raff, de Finjan, por informar de la vulnerabilidad de ejecución remota de código en el gadget Contactos de Windows Vista (CVE-2007-3032)

Aviv Raff, en colaboración con iDefense Labs, por informar de la vulnerabilidad de ejecución remota de código en el gadget Encabezados de noticias de Windows Vista (CVE-2007-3033)

Top of sectionTop of section

Soporte técnico

Puede solicitar soporte técnico en los Servicios de soporte técnico de Microsoft o a través del teléfono 902 197 198.

Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad son gratuitas. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite el sitio web de soporte técnico internacional de Microsoft.

Top of sectionTop of section

Renuncia

La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Top of sectionTop of section

Revisiones

V1.0 (14 de agosto de 2007): Publicación del boletín.

Top of sectionTop of section

Principio de la páginaPrincipio de la página