Google acaba de superar una vulnerabilidad de Windows sin parchear
Google ha revelado una vulnerabilidad de día cero en Windows que actualmente no está parcheada y está siendo explotada activamente en la naturaleza. Es lejos decir que Microsoft no está muy contento con esta situación, alegando las acciones de Google “pone a los clientes en riesgo potencial”.
En algún momento a principios de octubre, Google descubrió serias vulnerabilidades tanto en Windows como en Flash. El 21 de octubre, Google informó a Microsoft y Adobe de los problemas de seguridad críticos 5 maneras de protegerse de una explotación de día cero 5 formas de protegerse de una explotación de día cero Explotaciones de día cero, vulnerabilidades de software que son explotadas por piratas informáticos antes un parche se vuelve disponible, representa una amenaza genuina para sus datos y privacidad. Aquí es cómo puedes mantener a los hackers a raya. Leer más en ambos productos. El 26 de octubre, Adobe actualizó Flash para solucionar el problema. Pero Microsoft todavía no ha solucionado el problema que acecha en el kernel de Windows.
A pesar de esto, Google reveló detalles de las vulnerabilidades en una publicación publicada en el Blog de seguridad de Google el 31 de octubre. Esto se adhiere a la política de la compañía de revelar públicamente que tales problemas existen siete días después de informar al proveedor del producto (s) afectado (s).
Microsoft se enoja con Google
Google describe la vulnerabilidad de Windows de la siguiente manera:
“La vulnerabilidad de Windows es una escalada de privilegios locales en el kernel de Windows que se puede usar como un escape de seguridad en un recinto de seguridad. Se puede activar a través del sistema win32k.sys, llame a NtSetWindowLongPtr () para el índice GWLP_ID en un identificador de ventana con GWL_STYLE establecido en WS_CHILD. El sandbox de Chrome bloquea las llamadas al sistema de win32k.sys mediante la mitigación del bloqueo de Win32k en Windows 10, lo que evita la explotación de esta vulnerabilidad de escape de sandbox.”
Lo que probablemente ofrece suficiente información para que los hackers descubran cómo usar la vulnerabilidad en su beneficio. Esto obviamente ha molestado a Microsoft, que le dijo a VentureBeat:
“Creemos en la divulgación coordinada de vulnerabilidades, y la divulgación de hoy por Google pone a los clientes en un riesgo potencial. Windows es la única plataforma con un compromiso del cliente para investigar los problemas de seguridad informados y actualizar de forma proactiva los dispositivos afectados lo antes posible. Recomendamos a los clientes usar Windows 10 y el navegador Microsoft Edge para la mejor protección.”
Esto es malo para todos los involucrados
Adobe pudo parchear la vulnerabilidad rápidamente, pero es mucho más fácil parchear Flash que parchear Windows. Por lo tanto, Microsoft puede tener un argumento válido de que una divulgación pública tan rápida es mala para todos los involucrados. Eso es aparte de los criminales que intentan explotar los agujeros de seguridad..
Debe tenerse en cuenta que la vulnerabilidad de Flash es necesaria para aprovechar la vulnerabilidad de Windows. Al menos en su forma actual. Entonces, siempre que se asegure de tener la última versión de Adobe Flash Por qué Flash necesita morir (y cómo puede deshacerse de él) Por qué Flash tiene que morir (y cómo puede deshacerse de él) La relación de Internet con El flash ha sido rocoso por un tiempo. Una vez, fue un estándar universal en la web. Ahora, parece que puede dirigirse al bloque de corte. ¿Qué cambió? Lea más, debe estar a salvo de daños por el momento. Sin embargo, Microsoft todavía necesita parchear la vulnerabilidad de Windows más temprano que tarde.
¿Google hizo lo correcto al revelar esta vulnerabilidad tan rápidamente? ¿Tiene Microsoft un argumento válido de que siete días no es lo suficientemente largo como para solucionar estos problemas? ¿Has comprobado que Adobe Flash esté actualizado? Por favor háznoslo saber en los comentarios más abajo!
Crédito de la imagen: Pirátská Strana a través de Flickr
Explore más acerca de: Adobe Flash, Google, Hacking, Microsoft, Windows.