Fallo en Windows Vista impide que se desactive la autoejecución en la forma descrita por Microsoft

La autoejecución (AutoRun) es una característica presente desde Windows 95 -y habilitada por defecto- que permite que se realice automáticamente alguna acción al introducir un dispositivo extraible como un CDROM. Desde Windows XP, existe además AutoPlay, que presenta al usuario un menú de opciones. Microsoft explica que ambas características pueden desactivarse desde el editor de políticas de grupo, o poniendo a cero el valor de AutoRun en el registro y a 0xFF el valor de NoDriveTypeAutoRun.

Sin embargo, un fallo de diseño en todas las versiones de Windows Vista impide que NoDriveTypeAutoRun funcione de la forma descrita, por lo que algunas capacidades de AutoPlay pueden permanecer activas a pesar de que los valores del registro y el editor de políticas de grupo indiquen lo contrario. Como consecuencia, es posible que un atacante logre que el usuario ejecute inadvertidamente código arbitrario a partir de un CD o una unidad USB.

No existe aún solución definitiva en forma de parche, por lo que los usuarios de Windows Vista han de recurrir a contramedidas temporales para deshabilitar eficazmente la autoejecución y prevenir así este tipo de ataque...