News

Google publica una vulnerabilidad de Microsoft 10 días después de haberse dado a conocer

Google ha descubierto una vulnerabilidad de Microsoft que se está explotando en la red y ha expuesto sus detalles al público solo 10 días después de haber informado a la compañía sobre el problema.

El 21 de octubre, Google se puso en contacto con Microsoft y Adobe para informarles sobre una vulnerabilidad que había descubierto en Flash y en Windows. Adobe solucionó el problema con un parche que publicó el 26 de octubre (CVE-2016-7855), pero Microsoft todavía no ha terminado de desarrollar un parche para la vulnerabilidad.

Google se refirió a la vulnerabilidad de Microsoft como una vulnerabilidad crítica porque permite el aumento de privilegios en el kernel de Windows que puede usarse para escapar de las cajas de arena. Además, solucionarla es urgente porque los criminales ya la han descubierto y la están explotando.

Google decidió publicar esta información porque sus políticas le exigen que lo haga 60 días después de haber informado al desarrollador sobre el problema si la vulnerabilidad no se está explotando y solo 7 días cuando los atacantes ya la han descubierto.

“Siete días es un tiempo muy ajustado y puede no ser suficiente para que los vendedores actualicen sus productos”, dijo Google en una publicación en 2003, cuando tuvo un problema similar con Microsoft. “Sin embargo, es suficiente tiempo para que la compañía advierta a sus clientes sobre posibles formas de mitigar la amenaza”.

Microsoft desaprobó la decisión de Google de publicar los detalles de la vulnerabilidad sin haber esperado a que haya un parche disponible. “Creemos en la importancia de la publicación coordinada de vulnerabilidades, y la exposición de Google puso a los usuarios en riesgo”, dijo Microsoft. “Microsoft es la única plataforma comprometida a investigar los problemas de seguridad que se descubren en sus productos y a actualizar de forma proactiva los dispositivos afectados lo antes posible”, dijo la compañía.

Un factor mitigante es que se necesita la vulnerabilidad de Flash para explotar la de Windows, por lo que es importante instalar la actualización de Adobe lo antes posible para protegerse. Microsoft dijo que es razonable que le tome más tiempo desarrollar a un parche que a Adobe porque no es lo mismo trabajar con un programa que con todo un sistema operativo. Mientras tanto, como la vulnerabilidad se descubrió afectando a Chrome, la compañía aconsejó utilizar el navegador Microsoft Edge para mantenerse protegidos contra esta amenaza.

“Las acciones de Google son comprensibles si se toma en cuenta que la vulnerabilidad ya se está explotando”, opinó el Dr. Steven Murdoch, de la Universidad de Londres. “Pero si es correcto o no que haya hecho pública la vulnerabilidad da lugar a debates: ambos lados tienen argumentos razonables al respecto y todavía no sabemos quiénes son los atacantes ni a quiénes están dirigidos”.

Fuentes

PC World

VentureBeat

BBC

Google publica una vulnerabilidad de Microsoft 10 días después de haberse dado a conocer

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada