Google publica una vulnerabilidad mal parcheada en Windows
Project Zero de Google ha publicado una vulnerabilidad mal parcheada en Windows que afecta a las versiones del sistema de Microsoft desde Windows Vista SP2 hasta Windows 10.
No es la primera vez que el gigante de Mountain View saca los colores a la compañía de Redmond, ya que en el último trimestre del año pasado también publicó otra vulnerabilidad tan solo diez días después de comunicársela a Microsoft, movimiento que enojó a esta última. Sin embargo, Google ha esperado en esta ocasión 90 días para ver si Microsoft publicaba el correspondiente parche para las diferentes versiones de Windows afectadas.
La historia de esta vulnerabilidad mal parcheada se remonta al segundo trimestre de 2016, cuando el miembro de Project Zero Mateusz Jurczyk reportó el pasado 9 de junio al Equipo de Seguridad de Microsoft (Microsoft Security Team) una vulnerabilidad hallada en la librería de Interfaz de Dispositivos Gráficos (GDI, Graphics Device Interface) de Windows que afectaba a cualquier programa que usase dicha librería. En caso de explotada, podría permitir a los atacantes robar información alojada en memoria. La compañía de Redmond publicó un parche el 15 de junio de 2016, sin embargo, este no corregía todos los problemas que Project Zero encontró en GDI, lo que forzó a Mateusz Jurczyk a reportar de nuevo el problema el 16 de noviembre junto a una prueba de concpeto.
Tras pasar tres meses sin respuesta por parte de Microsoft, Project Zero de Google decidió aplicar su política estándar y hacer pública la vulnerabilidad con todos los detalles encontrados, incluyendo cómo podrían actuar hackers y otros actores maliciosos.
Aunque estos movimientos de Google generan a veces bastante revuelo, se puede decir a favor de los usuarios de Windows que la vulnerabilidad requiere de acceso físico a la computadora, no siendo explotable de forma remota.
Sin embargo, este problema sí ha afectado a Microsoft, que ha decidido retrasar el parche mensual de seguridad debido a “un problema de último minuto que podría impactar a algunos clientes y que no fue resuelto a tiempo para los planes de actualización”, pudiendo estar relacionado con la vulnerabilidad que estamos cubriendo en esta noticia. Por otro lado, este movimiento deja expuestos a muchos usuarios al no corregirse problemas graves que fueron detectados hace tiempo.
Fuente | The Hacker News
Via: muyseguridad.net