Llegamos a ustedes gracias a:



Noticias

Google publica tercera vulnerabilidad de Día Cero en Windows en el mes

[19/01/2015] Google ignoró los pedidos de Microsoft de tener mayor flexibilidad en los plazos para la revelación de vulnerabilidades, y publicó los detalles de otra falla no parchada en Windows, dejando a los usuarios expuestos por al menos los siguientes 25 días.

La nueva vulnerabilidad, que fue confirmada en Windows 7 y 8.1, podría constituir una forma de evitar una característica de seguridad para la forma en que las aplicaciones pueden cifrar su memoria, de tal forma que los datos se puedan intercambiar entre procesos que corren bajo la misma sesión de logon.

"El problema es que la implementación en CNG.sys no revisa el nivel de suplantación del token cuando captura la id de la sesión de logon (usando SeQueryAuthenticationIdToken) por lo que un usuario normal puede suplantarse a nivel de Identificación y descifrar o encriptar los datos para esa sesión de logon, afirmaron los investigadores de Google Project Zero en la descripción de la falla. "Este puede ser un problema si existe un servicio que sea vulnerable a un ataque de los que se denominan pipe planting, o está almacenando datos cifrados en una sección de memoria compartida y leíble por todos.

De acuerdo a Project Zero, Microsoft fue notificada de la vulnerabilidad el 17 de octubre e inicialmente planeó repararla durante su Martes de Parches de enero, hace unos días. Sin embargo, el parche tuvo que ser pospuesto debido a problemas de compatibilidad.

Los investigadores de Google no se inmutaron ante esto y se mantuvieron firmes con su plazo de revelación pública de 90 días, publicando detalles de la falla y un exploit de prueba de concepto el jueves.

No se espera que el parche se encuentre entre las actualizaciones de seguridad programadas por Microsoft para el 10 de febrero, aunque no hay garantía de que se posponga aún más. Por supuesto, Microsoft tiene la opción de lanzar un parche en cualquier momento, pero la compañía hace esto en pocas ocasiones y cuando lo hace generalmente es para fallas críticas que los atacantes ya están explotando.

Esta es la tercera vulnerabilidad no parchada de Windows que los investigadores de Project Zero ha revelado públicamente en el pasado mes debido a que Microsoft no publicó parches antes del plazo de 90 días establecido por Google.

El domingo, Microsoft denunció públicamente la inflexibilidad de Google con la revelación de la vulnerabilidad, argumentando que los investigadores deberían trabajar con las compañías afectadas hasta producir un parche antes de hacerla pública.

"Creemos que aquellos que revelan una vulnerabilidad antes de que se disponga de un parche están haciendo un flaco servicio a millones de personas y a los sistemas de los cuales dependen, sostuvo Chris Betz, director senior del Security Response Center de Microsoft, en una entrada de blog en ese momento.

Sin embargo, otros investigadores consideran que 90 días es más que suficiente para que un proveedor de software, especialmente uno del tamaño de Microsoft, repare la vulnerabilidad.

Microsoft está quejándose de su propia incapacidad de responder a los bugs de manera oportuna luego de más de una década de usar su posición dominante para dictar cómo es que se deberían manejar las vulnerabilidades, sostuvo Robert Graham, CTO de la firma de investigación Errata Security en una entrada de blog el lunes. "Ahora es Google quien establece el estándar de la industria para reportar vulnerabilidades, afirmó.