Google publica una vulnerabilidad mal parcheada en Windows

Microsoft se enfrenta una vez más la vergüenza de no parchear una vulnerabilidad a tiempo.
 
El equipo del Proyecto Zero de Google ha una vez más hace públicamente una vulnerabilidad (con POC exploit ) que afectan a los sistemas operativos Windows de Microsoft, que van desde Windows Vista Service Pack 2 para el último Windows 10 que aún no se había parcheado.

Hace unos meses, el gigante motor de búsqueda dió a conocer una vulnerabilidad crítica de Windows para el público en sólo diez días después de revelar la falla de Microsoft.

Sin embargo, esta vez Google reveló la vulnerabilidad de Windows para el público después de que Microsoft no pudo parchear dentro del plazo de 90 días dado por la empresa.

De Google, el miembro de Project Zero Mateusz Jurczyk responsable de reportar una vulnerabilidad en la interfaz de dispositivo gráfico de Windows biblioteca (GDI) de Microsoft Equipo de Seguridad el 9 de junio del año pasado.
 
La vulnerabilidad afecta a cualquier programa que utiliza esta biblioteca, y si se explota, lo que potencialmente podría permitir a los hackers para robar información de la memoria.

Mientras que Microsoft publicó un parche para la vulnerabilidad el 15 de junio, la compañía no se soluciona todos los problemas en la biblioteca GDI, obligando al investigador Proyecto Cero reportar una vez más a Microsoft con una prueba de concepto el 16 de noviembre.

” Como resultado, es posible revelar bytes sin inicializar o fuera de los límites del montón a través de colores de los píxeles, en Internet Explorer y otros clientes de GDI que permiten la extracción de datos de las imágenes que se muestran al atacante “, Jurczyk señala en el nuevo informe .

Ahora, después de haber dado el período de gracia de tres meses para la compañía, Google dio a conocer los detalles de la vulnerabilidad al público, incluyendo a los piratas informáticos y los agentes maliciosos.

Google Project Zero encuentran habitualmente agujeros de seguridad en softwares diferentes y hacen un llamamiento a los proveedores de software afectados para divulguen públicamente y errores de parche dentro de los 90 días de descubrirlos. En caso contrario, la empresa realiza de forma automática la falla junto con su información pública.

Para los usuarios de Windows no es necesario entrar en pánico, ya que los hackers tendrán que tener acceso físico a la máquina host para explotar la vulnerabilidad, el gigante de Redmond tendrá que liberar un parche de emergencia antes del desarrollo de exploits sofisticados.

Microsoft recientemente ha decidido retrasar el parche mensual de seguridad debido a “un problema de última hora “ que podría afectar a algunos clientes y no fue resuelto a tiempo para las actualizaciones planificadas de Microsoft para el 14 de febrero.

Por lo tanto, si no hay un parche de emergencia prevista para este mes, esta vulnerabilidad descubierta recientemente se deja abierta para los hackers durante casi un mes para explotar, poniendo en riesgo a los usuarios de Windows.
 
 
 
Fuente: thehackernews
Follow me:
Twitter
Visit Us
Facebook
Facebook
Instagram
RSS
Follow by Email

También te puede interesar

Deja un comentario

error: Content is protected !!