Una vulnerabilidad Zero Day en Windows 8.1 que permitiría elevación de privilegios ha sido publicada por Google tras ser reportada a Microsoft y no recibir respuesta en 90 días.
Project Zero es una iniciativa de Google que busca detectar fallas de seguridad en diferentes Software avisar a los responsables para que los mismos sean corregidos. Según la política del proyecto, una vez descubierta una falla, esta es reportada a los responsables del Software y una vez es liberado el parche, la misma pasará a una base de datos pública, pero si en un lapso de 90 días no se obtiene respuesta de los responsables, la falla sera liberada a dominio público.
La falla fue reportada en Septiembre a Microsoft y fue liberada tras no recibir respuesta durante 90 días. Luego de ser publicada, Microsoft respondió que ya se encuentra trabajando en la solución. Google ha publicado una Prueba de Concepto con la que se puede ejecutar el programa CALC.EXE con privilegios administrativos haciendo uso de esta vulnerabilidad.
La vulnerabilidad reside en ahcache.sys en la función AhcVerifyAdminContext() que no verifica adecuadamente el token del llamante para determinar si el usuario es o no administrador. La prueba de concepto se aprovecha de un ejecutable llamado ComputerDefaults.exe (que bien podría ser cualquier otro) el cual se ejecuta automáticamente con privilegios elevados. Aun no se ha probado si Windows 7 es vulnerable, pero es posible que lo sea.
Fuente: Slashdot
Curioso, Apasionado por la ciencia, investigador nato. CEO, Editor y Redactor en ZonaGeek.Net.
Puzzle Bobble
Karate Blazers
Puzzle De Bloques
Magical Cat Adventure