Como parte de su paquete de boletines de seguridad de noviembre que consta de 15 vulnerabilidades, Microsoft agendó tres fallas críticas, una de las cuales afecta al kérner de Windows.

En el boletín MS09-065 describe que dicha vulnerabilidad permite la ejecución remota de código en la máquina afectada de la víctima, quien tuvo que haber navegado a una página Web o abierto un documento modificados especialmente con una fuente EOT (Embedded Open Type).

Microsoft llamó a sus clientes a implementar este parche urgentemente y a agendarlo como una prioridad. Los especialistas y representantes de firmas de seguridad también exhortan a usuarios a hacerlo lo más pronto posible.

Ningún boletín agenda vulnerabilidad alguna para Windows 7 ni a Windows Server 2008 R2.

Sin embargo, según Chester Wisniewski, consultor de seguridad senior de la firma de software antivirus Sophos, Windows 7 es vulnerable a ocho de 10 virus, según una prueba que realizó y cuyos resultados publicó en su blog.

La prueba fue muy sencilla, Sophos sembró diez ejemplares de malware conocido en una PC que corre Windows 7 y el sistema operativo solo detectó dos de ellos. Esto lo hizo Wisniewski para desmentir las campañas publicitarias de Microsoft en el sentido de que el SO es en sí mismo muy seguro, lo cual podría sugerir que ya no son tan necesarios los antivirus.

A este hecho Microsoft respondió a través de Paul Cooke, el director de Seguridad de Clientes Windows Enterprise, quien escribió en su blog que el hallazgo de Sophos había sido motivado por el ‘sensacionalismo’ que le ayudaría a vender más de su software.

“Estamos de acuerdo (con Chester): los usuarios de cualquier computadora, en cualquier plataforma, debería correr software antivirus, incluidas aquellas con Windows 7”, escribió Cook.

Pero no omitió insistir en que la seguridad construida en las entrañas del nuevo sistema operativo de Microsoft tiene mucho trabajo detrás y su finalidad es hacer más difícil al malware infectar las PC de los usuarios. Cooke recapituló la arquitectura de seguridad que tiene Windows 7 y cuestionó que para la prueba de Chester no se hayan aprovechado todas las herramientas de seguridad que el SO e Internet Explorer 8 ofrecen.

Las tres vulnerabilidades críticas (MS09-063, MS09-064 y MS 09-066) afectarían más a empresas que a individuos, hizo notar Microsoft en su boletín, de acuerdo con su Índice de Explotabilidad.