Clicky

Google hace pública vulnerabilidad de Windows que Microsoft falla en parchear, ¡otra vez!

Microsoft se enfrenta una vez más a la vergüenza por no parchear a tiempo una vulnerabilidad

Sí, el equipo del Proyecto Zero de Google ha dado a conocer públicamente una vez más una vulnerabilidad (con POC exploit) que afecta a los sistemas operativos Windows de Microsoft, que van desde Windows Vista Service Pack 2 a el último Windows 10 que aún no se había parcheado.

Hace unos meses, el gigante de los motores de búsqueda dio a conocer al público una vulnerabilidad crítica de Windows justo diez días después de revelar la falla de Microsoft.

Sin embargo, esta vez Google reveló al público la vulnerabilidad de Windows después de que Microsoft no pudo parchearla dentro de la ventana de 90 días dada por la empresa.

Mateusz Jurczyk, miembro de Google Project Zero, informó responsablemente sobre una vulnerabilidad en la biblioteca de interfaz de dispositivos gráficos (GDI) de Windows al equipo de seguridad de Microsoft el 9 de junio del año pasado.

La vulnerabilidad afecta a cualquier programa que utilice esta biblioteca y, si se explota, podría permitir potencialmente a los piratas informáticos robar información de la memoria.

Aunque Microsoft publicó un parche para la vulnerabilidad el 15 de junio, la compañía no solucionó todos los problemas de la biblioteca GDI, obligando al investigador del Proyecto Zero a volver a reportarlo a Microsoft el 16 de noviembre con una prueba de concepto.

"Como resultado, es posible revelar un montón de bytes no inicializados o fuera de los límites a través de colores de píxeles en Internet Explorer y otros clientes GDI que permiten la extracción de los datos de imagen mostrados de nuevo al atacante", señala Jurczyk en el nuevo informe.

Ahora, después de dar a la compañía el período de gracia de tres meses, Google dio a conocer al público los detalles de la vulnerabilidad, incluidos los piratas informáticos y los actores maliciosos.

El equipo de Google Project Zero encuentra rutinariamente agujeros de seguridad en diferentes programas y pide a los proveedores de software afectados que divulguen públicamente y corrijan errores en un plazo de 90 días después de descubrirlos. Si no, la empresa automáticamente da a conocer el defecto junto con sus detalles públicos.

Aunque los usuarios de Windows no necesitan entrar en pánico, ya que los hackers requerirán acceso físico a la máquina host para explotar la vulnerabilidad, el gigante de Redmond tendrá que liberar un parche de emergencia antes de que se desarrollen sofisticadas vulnerabilidades.

Microsoft retrasó recientemente el Patch Tuesday este mes debido a "un problema de última hora que podría afectar a algunos clientes y no se resolvió a tiempo para las actualizaciones programadas" de Microsoft el 14 de febrero.

Por lo tanto, si no hay un parche de emergencia esperado este mes, esta nueva vulnerabilidad será dejada abierta para los hackers durante casi un mes para explotarla - al igual que vimos la última vez cuando los hackers rusos explotan activamente el error del kernel de Windows sin parches en la naturaleza - lo que podría poner a los usuarios de Windows en riesgo potencial.

Jesus_Caceres