Un investigador de Google ha publicado una vulnerabilidad de Windows 8.1 que todavía no ha parcheado Microsoft. Eso sí, ha
indicado que ha esperado 90 días antes de explicar a los usuarios como
explotarla para dar tiempo a los de Redmond de arreglar el agujero. Al no hacerlo ha decidido hacerlo público.
Forshaw, que así se le conoce al investigador de Google que ha explicado como explotar la vulnerabilidad, publicó hace 90 días su descubrimiento. Durante estos meses Microsoft no ha dicho una sola palabra y por supuesto tampoco ha intentado parchear el problema.
Y por tiempo no ha sido, ya que el segundo martes de cada mes se suele
dedicar a actualizar el sistema operativo para parchear todas las
vulnerabilidades, cosa que no ha hecho con esta en concreto.
El post se ha publicado en la página de investigación de seguridad de
Google y ahí se da a conocer, a parte de la vulnerabilidad, la forma de
explotarla. Esta vulnerabilidad permite una elevación de privilegios en
ahcache.sys / NtApphelpCacheControl y hay una aplicación de
demostración que puede lanzar calc.exe utilizando este método.
Microsoft no ha hecho nada
Desde Redmond parece ser que no se tiene en cuenta este problema y
por eso todavía no lo han arreglado. Y es raro, ya que normalmente, como
hemos dicho antes, Microsoft suele actualizar su sistema operativo una vez al mes, y suelen actuar con bastante rapidez.
De momento no se sabe si esta vulnerabilidad también se da en otras versiones más antiguas del sistema operativo de Microsoft pero lo que es seguro es que en Windows 8.1 funciona.
Según parece la publicación del exploit y su explicación es una forma
de meter prisa a Microsoft ya que estas cosas no se suelen hacer.
Normalmente se espera a que la compañía en cuestión haya lanzado un
parche para publicar el modo de explotar el fallo.
Fuente: Neowin.
No hay comentarios:
Publicar un comentario