Seguridad Informática. Google revela vulnerabilidad de Windows aún no resuelta por Microsoft

Google revela vulnerabilidad de Windows aún no resuelta por Microsoft

Cumpliendo un procedimiento de rutina, Google han dado a conocer los detalles de una vulnerabilidad de Windows detectada en marzo de 2016, que aún no ha sido solucionada por Microsoft.

Project Zero ha dado a conocer la vulnerabilidad, 90 días después de haber notificado a Microsoft, cumpliendo así su procedimiento estándar para tales anuncios. En realidad, la data de la vulnerabilidad es considerablemente superior a 90 días, al haber sido detectada en marzo de 2016 por el ingeniero de Google Mateusz Jurczyk, y que Microsoft intentó eliminar mediante su actualización MS16-074 en junio del mismo año.

El propio Jurczyk analizó posteriormente el parche de Microsoft, concluyendo que era insuficiente, por lo que nuevamente notificó a la empresa.

La vulnerabilidad está vinculada al procesamiento de elementos gráficos DIB (Device Independent Bitmaps), integrado en archivos de tipo EMF (Enhanced Metafile) cuando estos archivos son abiertos en las aplicaciones que utilizan Windows Graphics Device Interface. La vulnerabilidad del caso hace posible para un atacante hacerse del control de la memoria del sistema.

En principio, los archivos EMF no son de uso generalizado, y muchos usuarios sencillamente los ignoran al recibirlos como anexos de correo electrónico. Sin embargo, estos archivos pueden ser integrados en otros archivos, como por ejemplo documentos Word. “He constatado que la vulnerabilidad es reproducida en Internet Explorer y también en servicios online como Office 365 mediante un documento .docx”, escribe Jurczyk.

Diversas fuentes especulan que Microsoft había planeado distribuir el parche correspondiente junto con la actualización de seguridad programada para el martes 14 de febrero. Sin embargo, esta actualización fue postergada hasta el 14 de marzo, sin que Microsoft haya explicado las razones. Siempre en el ámbito de las especulaciones, se sugiere que Microsoft estaría experimentando problemas con la infraestructura de Windows Update; es decir, que no se trataría de un problema vinculado a esta actualización en particular.

Al margen de las posibles explicaciones, Microsoft ha manifestado su desacuerdo con las políticas de Google para Project Zero, al dar a conocer públicamente detalles sobre vulnerabilidades para las que aún no ha publicado parches. En noviembre de 2016, cuando Microsoft necesitó más de 90 días para eliminar una vulnerabilidad notificada por Project Zero, Terry Myerson, director de la división Windows en Microsoft, comentó que era decepcionante que Google no hubiera esperado hasta la disponibilidad del parche correspondiente antes de dar a conocer los detalles técnicos de la vulnerabilidad. En 2015, frente a una situación similar, Microsoft también protestó mediante una declaración pública.

Los desacuerdos entre Microsoft y Google obedecen a una distinta percepción de la seguridad y la reserva que debe mantenerse al respecto. Es evidente que Microsoft prefiere mantener en reserva los detalles de las vulnerabilidades hasta que haya un parche disponible; al menos cuando aún no se hayan producido ataques de días cero. Google, por su parte, considera que si la vulnerabilidad no ha sido solucionada dentro de un plazo razonable – a su juicio 90 días- lo más aconsejable es notificar a los afectados con el fin de que puedan protegerse por cuenta propia frente a ataques potenciales.

Fotografía (c) Photographee vía Shutterstock

Fuente: Diario TI

https://diarioti.com/google-revela-vulnerabilidad-de-windows-aun-no-resuelta-por-microsoft/103252

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

Somos la primera Empresa en el país en “Soluciones de seguridad para préstamos de libros utilizando la huella digital”

Puede seguirnos en Twitter. Follow inbiosys on Twitter

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

INBIOSYS
Jairo Alonso Gómez Cano
Gerente Comercial
http://www.inbiosys.com.co/

https://sites.google.com/site/inbiosys/
E-mail: comercial@inbiosys.com.co
PBX: (57)(4) 583 13 31
Celular: (57) 312 782 60 21

INBIOSYS
Ingeniería y Sistemas Biométricos

Carrera 81 No. 43 – 72 Oficina 1 109
Medellín Colombia

Para contactarnos por favor llenar el siguiente formulario


INBIOSYS - Ingeniería y Sistemas Biométricos

Anuncios

0 Responses to “Seguridad Informática. Google revela vulnerabilidad de Windows aún no resuelta por Microsoft”



  1. Dejar un comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




marzo 2017
L M X J V S D
« Feb   Abr »
 12345
6789101112
13141516171819
20212223242526
2728293031  

Escribe tu dirección de correo electrónico para suscribirte a este blog, y recibir notificaciones de nuevos mensajes por correo.

Únete a otros 54 seguidores

Categorías

Comentarios recientes

josefina nidia avant… en Seguridad Informática. Cerca d…

Actualizaciones de Twitter


A %d blogueros les gusta esto: