Google ha liberado detalles sobre una vulnerabilidad Zero-Day en el Kernel de Windows, solo 10 días después de haberla reportado. ¡Vamos! ¡Que no han esperado nada!
El 21 de octubre, los investigadores de seguridad de Google reportaron una grave vulnerabilidad Zero-Day en el Kernel de Windows. Esta, permite realizar escala de privilegios a nivel local, evadiendo el SandBox en el que se ejecutan las aplicaciones en ambiente seguro.
Según se reporta, esta vulnerabilidad se encuentra en win32k.sys, en la función NtSetWindowLongPtr(), pero claro, la última versión de Chrome bloquea las llamadas a Win32k.sys para prevenir que la vulnerabilidad sea explotada. (¿Problem Microsoft?)
Además, en el reporte, dejan bien claro que la vulnerabilidad está siendo explotada activamente y que muy probablemente haya códigos maliciosos y pruebas de concepto circulando por la red.
También fue reportada una vulnerabilidad en Flash, la cual fue parchada el 26 de octubre, pero a la fecha, Microsoft no ha liberado parche para su vulnerabilidad de escala de privilegios.
Esta no es la primera vez que Google le hace algo similar a Microsoft. Project Zero ha revelado ya unas cuantas vulnerabilidades críticas en el Kernel de los de Redmond, quienes han tenido que poner su mejor cara de diplomáticos para no decirle a Google lo que realmente piensan de ellos por esas acciones.
Lo cierto es que Project Zero quiere un Internet más seguro para todos nosotros, pero liberando las vulnerabilidades al público en un tiempo absurdamente corto, me pregunto si realmente lo están logrando.
Claro, este tipo de acciones ocasiona que los fabricantes, en este caso Microsoft, actúen con mayor celeridad para liberar sus parches, pero nos dejan vulnerables a los delincuentes mientras el fabricante libera el parche. Al final, es problema del fabricante, no de Google ¿No?
Fuente: SlashDot