Google ha revelado una vulnerabilidad de día cero en Windows que actualmente no está parcheada y se está explotando activamente en la naturaleza. Está lejos de decir que Microsoft no está muy contento con esta situación, alegando que las acciones de Google "ponen a los clientes en riesgo potencial".
En algún momento a principios de octubre, Google descubrió vulnerabilidades graves tanto en Windows como en Flash. El 21 de octubre, Google informó a Microsoft y Adobe de los problemas críticos de seguridad. 5 formas de protegerse de una explotación de día cero. 5 maneras de protegerse de una explotación de día cero. Las vulnerabilidades de software que explotan los hackers antes del día cero. un parche está disponible, representa una amenaza real para sus datos y privacidad. Así es como puedes mantener a raya a los piratas informáticos. Lea más en ambos productos. El 26 de octubre, Adobe actualizó Flash para solucionar el problema. Pero Microsoft aún no ha solucionado el problema al acecho en el kernel de Windows.
A pesar de esto, Google dio a conocer detalles de las vulnerabilidades en una publicación publicada en el Blog de seguridad de Google el 31 de octubre. Esto se adhiere a la política de la compañía de revelar públicamente que dichos problemas existen siete días después de informar al vendedor de los productos afectados.
Microsoft se molesta con Google
Google describe la vulnerabilidad de Windows de la siguiente manera:
"La vulnerabilidad de Windows es una escalada de privilegios locales en el núcleo de Windows que se puede usar como un escape de espacio aislado de seguridad. Se puede activar a través de la llamada al sistema win32k.sys NtSetWindowLongPtr () para el índice GWLP_ID en un identificador de ventana con GWL_STYLE establecido en WS_CHILD. La zona de pruebas de Chrome bloquea las llamadas al sistema win32k.sys utilizando la mitigación de bloqueo de Win32k en Windows 10, lo que evita la explotación de esta vulnerabilidad de escape de la zona de pruebas ".
Lo que probablemente ofrece suficiente información para que los hackers descubran cómo usar la vulnerabilidad para su beneficio. Esto obviamente ha molestado a Microsoft, que le dijo a VentureBeat:
"Creemos en la divulgación coordinada de vulnerabilidades, y la divulgación de hoy por parte de Google pone a los clientes en riesgo potencial. Windows es la única plataforma con el compromiso del cliente de investigar los problemas de seguridad informados y actualizar proactivamente los dispositivos afectados lo antes posible. Recomendamos a los clientes que utilicen Windows 10 y el navegador Microsoft Edge para la mejor protección ".
Esto es malo para todos los involucrados
Adobe pudo parchear la vulnerabilidad rápidamente, pero luego es mucho más fácil parchar Flash que parchear Windows. Entonces, Microsoft puede tener un argumento válido de que una divulgación pública tan rápida es mala para todos los involucrados. Eso es aparte de los criminales que tratan de explotar los agujeros de seguridad.
Se debe tener en cuenta que la vulnerabilidad de Flash es necesaria para aprovechar la vulnerabilidad de Windows. Al menos en su forma actual. Por lo tanto, siempre que se asegure de tener la última versión de Adobe Flash ¿Por qué Flash necesita morir? (¿Cómo puede deshacerse de ella?) ¿Por qué Flash necesita morir? (¿Cómo puede librarse?) La relación de Internet con Flash ha sido inestable por un tiempo. Una vez, era un estándar universal en la web. Ahora, parece que puede dirigirse a la tabla de cortar. ¿Qué cambió? Lea más, debe estar a salvo de daños por el momento. Sin embargo, Microsoft aún necesita parchear la vulnerabilidad de Windows más temprano que tarde.
¿Google hizo lo correcto al revelar esta vulnerabilidad tan rápido? ¿Microsoft tiene un argumento válido de que siete días no son lo suficientemente largos para corregir esos problemas? ¿Has verificado que Adobe Flash esté actualizado? ¡Por favor háznoslo saber en los comentarios más abajo!
Crédito de la imagen: Pirátská Strana a través de Flickr