Investigadores de seguridad de Google Project Zero han descubierto una vulnerabilidad crítica que permite Ejecución Remota de Código (RCE) en Windows y Tavis Ormandy anunció que es realmente grave.
Ormandy no proporcionó más detalles sobre el error, ya que Google da un plazo de 90 días antes de la divulgación, dando tiempo para que los proveedores puedan parchear sus productos antes divulgarlos al público. Esto significa que los detalles del nuevo RCE en Windows se divulgará dentro de 90 días a partir de ahora, incluso si Microsoft no soluciona el problema.

Sin embargo, Ormandy más tarde reveló algunos detalles de la falla de RCE de Windows, aclarando que:

• La vulnerabilidad funciona contra instalaciones predeterminadas de Windows.
• El atacante no necesita estar en la misma red de área local (LAN) que la víctima, lo que significa que los equipos vulnerables de Windows pueden ser atacados de forma remota.
• El ataque tiene capacidades de ser "wormable", lo cual significa que puede crearse un gusano y el mismo puede propagarse automáticamente.

A pesar de que no se publicaron detalles técnicos sobre el fallo, algunos profesionales han criticado al investigador de Google Project Zero por hacer pública la vulnerabilidad, mientras que la comunidad infosec de Twitter parece estar satisfecha con el trabajo.

Fuente: The Hacker News