Conecta con nosotros

Noticias

Google revela otra vulnerabilidad 0-Day que Microsoft no ha parcheado

Publicado el

vulnerabilidad 0-Day

vulnerabilidad 0-Day

El equipo Project Zero de Google ha publicado una vulnerabilidad 0-Day (sin parchear y para la que no se conoce solución) que afecta a los navegadores web de Microsoft, Internet Explorer y Edge.

MS Recomienda

Estudio sobre ciberseguridad en la empresa española ¡Participa en nuestra encuesta y gana!
Estudio "La virtualización en las empresas españolas" ¡Descárgate el informe!
Gestiona los dispositivos de tu empresa de forma inteligente Leer

El fallo de seguridad fue reportado por Google a Microsoft el 25 de noviembre de 2016. El bug es sencillo de explotar mediante una prueba de concepto de sólo 17 líneas de código HTML, con foco en dos variables RCX y rax. El ataque permite tumbar los navegadores y ejecutar en ellos código arbitrario.

El fallo de seguridad se presente indistintamente en Internet Explorer y en el nuevo navegador exclusivo de Windows 10, Edge. Fue reportado por primera vez a Microsoft el 25 de noviembre de 2016 y Google ofreció la ventana estándar de 90 días de plazo para parchear la vulnerabilidad antes de publicarla.

El parcheo no ha llegado porque Microsoft ha retrasado un mes los parches mensuales de febrero y el equipo Project Zero de Google ha publicado la vulnerabilidad con el riesgo subyacente.

Es la segunda vulnerabilidad que el equipo de especialistas en seguridad de Google dedicado a localizar vulnerabilidades en software de terceros publica en una semana, después del bug que afecta a las versiones del sistema de Microsoft desde Windows Vista SP2 hasta Windows 10.

Ello abre el debate si estas vulnerabilidades críticas hay que hacerlas públicas en el tiempo determinado (90 días según Google) o no se deben publicar hasta que el proveedor las haya parcheado.

Hay puntos de vista para defender ambos argumentos, aunque el resultado está ahí y puede ser grave para el usuario: la presencia de un exploit aprovechando una vulnerabilidad que no ha sido parcheada por Microsoft en un tiempo razonable y que ha sido publicado por Google sin esperar a que esté resuelta. 

Coordino el contenido editorial de MC. Colaboro en medios profesionales de TPNET: MCPRO, MuySeguridad, MuyCanal y Movilidad Profesional.

Lo más leído