Project Zero es un grupo de expertos de seguridad de Google que a menudo busca vulnerabilidades en los sistemas y las aplicaciones más utilizadas y se las reporta a los responsables de manera que estos puedan solucionarlas antes de 90 días o, de lo contrario, los fallos se harán públicos. Este grupo de expertos de seguridad se ha cebado ya varias veces con Microsoft reportando y haciendo públicas varias vulnerabilidades en Windows y, cuando parecía que las cosas se habían calmado, esto ha vuelto a ocurrir y, esta vez, con un fallo incluso más peligroso y preocupante.

Tavis Ormandy‏ y Natalie Silvanovich, dos investigadores de Google Project Zero, aseguran haber descubierto la peor vulnerabilidad de ejecución de código remoto en Windows que se recuerde en la historia del sistema operativo.

Aunque por el momento no se ha publicado mucha información sobre el fallo de seguridad, estos expertos aseguran que el fallo de seguridad está presente desde nada más instalar Windows, se puede explotar de forma remota sin estar en la misma LAN y, además, se puede configurar fácilmente un gusano para que se aproveche de este fallo de seguridad.

.@natashenka Attack works against a default install, don't need to be on the same LAN, and it's wormable. 🔥

— Tavis Ormandy (@taviso) May 6, 2017

Estos expertos de seguridad ya han reportado a Microsoft el fallo de seguridad, aunque la compañía aún no ha respondido ante él. A partir de ahora, Microsoft tiene por delante 90 días para investigar el fallo de seguridad, crear un parche y distribuirlo a todos los usuarios antes de que este fallo se haga público y los piratas informáticos empiecen a aprovecharse de él.

Mañana día 9 de mayo, Microsoft debería lanzar los nuevos parches de seguridad para Windows y el resto de sus productos de seguridad, por lo que, por falta de tiempo, este mes ya no se van a solucionar esta vulnerabilidad. Habrá que ver si la compañía se toma en serio la amenaza y, al menos, la soluciona para los parches de junio y no ocurre lo que ha pasado meses atrás que, ignorando a Project Zero, se ha dejado una vulnerabilidad abierta y se ha puesto en peligro a los usuarios durante semanas.

Otras vulnerabilidades de Windows descubiertas por Google Project Zero que han puesto en peligro a los usuarios.

Esta no es la primera vez, ni será la última, que el grupo de Google pone en evidencia la seguridad de Windows y, de paso, pone en peligro la seguridad de estos. Mientras que, en un principio, esta vulnerabilidad debería ser secreta durante los próximos 3 meses para dar tiempo a la compañía a solucionarla, en ocasiones anteriores se ha filtrado la información antes de tiempo, e incluso Microsoft ha ignorado los avisos y, agotado el plazo, se ha hecho pública la información, dejando a los usuarios en peligro hasta los siguientes parches de seguridad mensuales.

A pesar de las mejoras de seguridad que Microsoft ha implementado en las nuevas versiones de Windows, es inevitable que aún se encuentren fallos de seguridad, como este, que puedan poner en peligro a los usuarios. Mientras estos fallos permanezcan en secreto hasta que se solucionen ni tan mal, pero de hacerse públicos, especialmente este nuevo, la seguridad de los usuarios de Windows podría verse seriamente en peligro.

Además, recordamos que los usuarios de Windows XP y Windows Vista, en caso de estar afectados por esta vulnerabilidad (cosa que aún no sabemos), no recibirán el correspondiente parche.

¿Qué opinas sobre estos fallos de seguridad en Windows? ¿Crees que efectivamente esta será la peor vulnerabilidad vista hasta ahora en Windows?