Una vez más Google vuelve a estar en el ojo del huracán por la forma tan agresiva en la que desvela las vulnerabilidades de otras empresas a los pocos días de reportárselas y sin darles apenas tiempo para solucionarlas. La última víctima ha sido Microsoft, ya que esta madrugada ha expuesto una vulnerabilidad crítica de Windows 10 y Flash.
Se trata de un bug en el kernel de Windows que puede ser utilizado para eludir la seguridad del sistema a través de otro bug de Flash. Google le reportó la vulnerabilidad a Microsoft el pasado día 21, y aunque Adobe la solucionó a través de una actualización de Flash el día 26, Microsoft todavía no la había implementado en Windows 10. Además, la empresa del buscador se ha puesto una medalla diciendo que Chrome bloquea esta vulnerabilidad.
Google indigna a Microsoft
En el blog de seguridad de Google podemos leer la siguiente descripción de la vulnerabilidad:
La vulnerabilidad de Windows es una escalación del privilegio local en el kernel de Windows, que puede ser usado como para escapar de la seguridad definida por el sistema. Puede dispararse a través de una llamada del win32k.sys, particularmente la NtSetWindowsLongPtr().
¿Y por qué no ha querido esperar Google a que Microsoft reaccionase antes de exponer la vulnerabilidad? Pues porque según la empresa del buscador habían detectado que estaba siendo explotada activamente.
Desde Microsoft al principio no quisieron decir nada, pero poco después contestaron a un correo de VentureBeat notablemente indignados:
Creemos en una divulgación coordinada de vulnerabilidades, y la revelación de hoy de Google pone a los usuarios en una potencial situación de riesgo. Windows es la única plataforma con un compromiso con el cliente para investigar los problemas de seguridad detectados de forma proactiva y actualizar los dispositivos afectados tan pronto como sea posible. Recomendamos a los usuarios que utilicen Windows 10 y el navegador de Microsoft Edge para una mejor protección.
Como hemos dicho, para que nos afecte esta vulnerabilidad de Windows 10 hace falta explotar también la de Flash, la cual ha sido ya solucionada. Por lo tanto, para no correr peligro es recomendable asegurarse de tener la última versión de Flash instalada en el ordenador y estar atentos a la próxima que lanzará Microsoft para Windows 10, que previsiblemente será dentro de poco.
Vía | Google online Security
En Genbeta | Los 90 días de plazo del Project Zero de Google traen de cabeza a medio Mountain View
Ver todos los comentarios en https://www.genbeta.com
VER 32 Comentarios