El grupo de Análisis de Amenazas de Google reveló una vulnerabilidad crítica de Windows en una publicación del blog de seguridad de la compañía. El bug es muy específico, según informó The Verge: permite a los atacantes escapar de ‘cajas de arena’ de seguridad a través de una falla en el sistema win32k. Aunque es una falla sutil, es lo suficientemente seria como para ser crítica, según Google. Además está siendo explotada.
Google le informó a Microsoft hace 10 días sobre la falla, antes de publicarla y para darle tiempo a la compañía de desarrollar un parche. Sin embargo, Microsoft aún es vulnerable, y Google ya desplegó una protección para los usuarios de Chrome.
La revelación de Google solo nos da una descripción básica del bug, lo cual es suficiente información para que los usuarios puedan identificar un posible ataque. Para usar el bug se requiere una extensión aparte en Adobe Flash, para lo cual la compañía ya publicó el respectivo parche. Sin embargo, el hecho de que el bug exista puede incentivar a criminales a buscar formas viables de usarlo contra computadores que no han actualizado Flash.
Microsoft se manifestó al respecto y criticó la revelación, según dijo una fuente oficial a VentureBeat. Microsoft considera que al hacer público el bug, Google está poniendo en riesgo a los clientes. El vocero dijo que la compañía recomienda a los usuarios permanecer usando Windows 10 y el navegador Microsoft Edge.
El ‘período de gracia’ concedido a Microsoft responde a una política que Google estableció en 2013, y que dicta que las vulnerabilidades críticas solo se publican siete días después de que los investigadores le avisan al vendedor, en este caso Microsoft. Muchos investigadores consideran que esta política es desconsiderada porque siete días no son suficiente tiempo para responder a una vulnerabilidad compleja. Esta es la primera vez en tres años que Google tiene que aplicar la política.
Google recomienda que los usuarios verifiquen que sus versiones de Flash se hayan actualizado y que eventualmente apliquen los arreglos que Microsoft lance para enfrentar el bug.
Imagen: TechStage (vía Flickr).
«Microsoft se manifestó al respecto y criticó la revelación, según dijo una fuente oficial a VentureBeat. Microsoft considera que al hacer público el bug, Google está poniendo en riesgo a los clientes.» pues me parece bastante hipócrita por parte de m$. qué era lo que ellos hacían cadarato con java, o el mismo flash, porque compiten o competían contra ellos, y ellos mismos sacaban los reportes de prensa para que blogs de tecnología los publicaran, pese a que por ejemplo, .net tenía las mismas fallas que le criticaban al java. sí, bastante hipócritas. y si algo, no es culpa de flash, es culpa de m$. no es que si corre tal programa hay falla o no. si hay falla en el sistema, es porque els istema está mal hecho. si no es flash cualñquier otro program puede hacer lo mismo que el flash. no es que al flash le den permisos especiales
Los virus y antivirus y los bugs de software anunciados tiempo después de ser explotados … semejante negociazo…
Pero, que hace el bug?