Google ha liberado detalles sobre una vulnerabilidad Zero-Day en el Kernel de Windows, solo 10 días después de haberla reportado. ¡Vamos! ¡Que no han esperado nada!
El 21 de octubre, los investigadores de seguridad de Google reportaron una grave vulnerabilidad Zero-Day en el Kernel de Windows. Esta, permite realizar escala de privilegios a nivel local, evadiendo el SandBox en el que se ejecutan las aplicaciones en ambiente seguro.
Según se reporta, esta vulnerabilidad se encuentra en win32k.sys, en la función NtSetWindowLongPtr(), pero claro, la última versión de Chrome bloquea las llamadas a Win32k.sys para prevenir que la vulnerabilidad sea explotada. (¿Problem Microsoft?)
Además, en el reporte, dejan bien claro que la vulnerabilidad está siendo explotada activamente y que muy probablemente haya códigos maliciosos y pruebas de concepto circulando por la red.
También fue reportada una vulnerabilidad en Flash, la cual fue parchada el 26 de octubre, pero a la fecha, Microsoft no ha liberado parche para su vulnerabilidad de escala de privilegios.
Esta no es la primera vez que Google le hace algo similar a Microsoft. Project Zero ha revelado ya unas cuantas vulnerabilidades críticas en el Kernel de los de Redmond, quienes han tenido que poner su mejor cara de diplomáticos para no decirle a Google lo que realmente piensan de ellos por esas acciones.
Lo cierto es que Project Zero quiere un Internet más seguro para todos nosotros, pero liberando las vulnerabilidades al público en un tiempo absurdamente corto, me pregunto si realmente lo están logrando.
Claro, este tipo de acciones ocasiona que los fabricantes, en este caso Microsoft, actúen con mayor celeridad para liberar sus parches, pero nos dejan vulnerables a los delincuentes mientras el fabricante libera el parche. Al final, es problema del fabricante, no de Google ¿No?
Fuente: SlashDot
jajjajaja que amarillista esta noticia seguro usas android como muchos y google no es tan atenta con sus propios problemas por favor
Creo que el punto es más bien que Google quiere presionar a los fabricantes como Microsoft a que saquen rápido sus parches y exagera un poco con sus políticas de liberación de las vulnerabilidades.
Si puede ser, perero y ellos? Que hacen con sus vulnerabilidades dejan a un montón de teléfonos sin los parches, actualización tras otra es lo mismo
Precisamente. Ellos tienen unos deadlines prácticamente absurdos y sus aplicaciones también están llenas de agujeros de seguridad no parchados. Bueno, en su defensa, project zero ha liberado algunas vulnerabilidades de Android antes de que salga el parche, cumpliendo con su deadline de revelación de información