Harry James
0 
4821
1003
Google ha revelado una vulnerabilidad de día cero en Windows que actualmente no tiene parches y está siendo explotada activamente en la naturaleza. Está lejos decir que Microsoft no está muy contento con esta situación, alegando las acciones de Google “pone a los clientes en riesgo potencial”.
En algún momento a principios de octubre, Google descubrió serias vulnerabilidades tanto en Windows como en Flash. El 21 de octubre, Google informó a Microsoft y Adobe sobre los problemas críticos de seguridad 5 formas de protegerse de un exploit de día cero 5 formas de protegerse de un exploit de día cero Explotaciones de día cero, vulnerabilidades de software que los hackers explotan antes hay un parche disponible, representa una amenaza genuina para sus datos y privacidad. Así es como puedes mantener a raya a los hackers. en ambos productos El 26 de octubre, Adobe actualizó Flash para solucionar el problema. Pero Microsoft aún no ha solucionado el problema que acecha en el núcleo de Windows.
A pesar de esto, Google reveló detalles de las vulnerabilidades en una publicación publicada en el Blog de seguridad de Google el 31 de octubre. Esto se adhiere a la política de la compañía de revelar públicamente que tales problemas existen siete días después de informar al vendedor del producto afectado..
Microsoft se enoja con Google
Google describe la vulnerabilidad de Windows de la siguiente manera:
“La vulnerabilidad de Windows es una escalada de privilegios locales en el núcleo de Windows que se puede usar como un escape de seguridad. Se puede activar a través del sistema win32k.sys, llame a NtSetWindowLongPtr () para el índice GWLP_ID en un identificador de ventana con GWL_STYLE establecido en WS_CHILD. El sandbox de Chrome bloquea las llamadas al sistema win32k.sys utilizando la mitigación de bloqueo de Win32k en Windows 10, lo que evita la explotación de esta vulnerabilidad de escape de sandbox.”
Lo que probablemente ofrece suficiente información para que los piratas informáticos descubran cómo usar la vulnerabilidad en su beneficio. Esto obviamente ha molestado a Microsoft, que le dijo a VentureBeat:
“Creemos en la divulgación coordinada de vulnerabilidades, y la divulgación de hoy por parte de Google pone a los clientes en riesgo potencial. Windows es la única plataforma con un compromiso del cliente para investigar los problemas de seguridad reportados y actualizar proactivamente los dispositivos afectados lo antes posible. Recomendamos a los clientes usar Windows 10 y el navegador Microsoft Edge para la mejor protección.”
Esto es malo para todos los involucrados
Adobe pudo parchear la vulnerabilidad rápidamente, pero es mucho más fácil parchear Flash que parchear Windows. Por lo tanto, Microsoft puede tener un argumento válido de que una divulgación pública tan rápida es mala para todos los involucrados. Eso es aparte de los delincuentes que intentan explotar los agujeros de seguridad.
Cabe señalar que la vulnerabilidad de Flash es necesaria para aprovechar la vulnerabilidad de Windows. Al menos en su forma actual. Entonces, siempre y cuando se asegure de tener la última versión de Adobe Flash ¿Por qué Flash necesita morir? (Y cómo puede deshacerse de él) ¿Por qué Flash necesita morir? (Y cómo puede deshacerse de él) La relación de Internet con Flash ha sido difícil por un tiempo. Una vez, fue un estándar universal en la web. Ahora, parece que puede dirigirse al bloque de corte. ¿Qué cambió? , debe estar a salvo de daños por el momento. Sin embargo, Microsoft aún necesita parchear la vulnerabilidad de Windows más temprano que tarde.
¿Google hizo lo correcto al revelar esta vulnerabilidad tan rápido? ¿Tiene Microsoft un argumento válido de que siete días no son suficientes para solucionar tales problemas? ¿Ha verificado para asegurarse de que Adobe Flash esté actualizado? Por favor háznoslo saber en los comentarios más abajo!
Crédito de la imagen: Pirátská Strana a través de Flickr