Project Zero reveló un error grave de Windows 10 el 24 de diciembre

Ya sabes que Google Project Zero es ese proyecto que busca vulnerabilidades en productos y servicios. El dicho "Vendo consejos que no tengo" podría aplicarse a esta situación. La forma de actuar es ofrecer a la empresa afectada un período de tiempo prorrogable para resolver las vulnerabilidades.

Si no se cumple Google revela la vulnerabilidad y cómo utilizar esta vulnerabilidad. Es algo que hemos visto con frecuencia, pero esta vez han revelado una vulnerabilidad en medio de las vacaciones de Navidad.

Índice

    Google Project Zero pone a los ingenieros de Windows 10 en un punto muerto durante la Navidad

    El error que ha revelado públicamente es un error de seguridad en Windows. Si se explota, puede provocar una escalada de privilegios.

    Funciona de la siguiente manera: un proceso malicioso puede enviar mensajes de llamada a procedimiento local (LPC) al proceso de Windows splwow64.exe. Gracias a lo cual un atacante puede escribir un valor arbitrario en un espacio de memoria de una dirección arbitraria en el espacio de memoria de splwow64. Esto básicamente significa que el atacante controla esta dirección de destino y cualquier contenido copiado en ella.

    El defecto en cuestión no es del todo nuevo. De hecho, un investigador de seguridad de Kaspersky informó a principios de este año y Microsoft lo corrigió en junio. Sin embargo, ahora se ha determinado que este parche incompleto para Piedra de maddie de Google Project Zero. Maddie dice que el parche de Microsoft solo cambia puntos en la compensación. Lo que significa que un atacante aún puede explotarlo utilizando el valor de compensación.

    El 24 de septiembre, Google Project Zero informó de forma privada a Microsoft sobre el día cero, y el plazo estándar de 90 días vence el 24 de diciembre. Microsoft originalmente planeó lanzar una solución en noviembre, pero la fecha límite de publicación se redujo a diciembre. Después de eso, le dijo a Google que había identificado nuevos problemas durante sus pruebas, y ahora lanzará un parche en enero de 2021.

    Project Zero podría ser más intransigente en 2021

    El 8 de diciembre, las dos partes se reunieron para discutir el progreso y los próximos pasos. Donde se determinó que el período de gracia de 14 días no se puede ofrecer a Microsoft. La compañía planea lanzar el parche el 12 de enero de 2021, seis días durante el período de gracia. Stone dijo que si bien no cree que una solución incompleta merezca otro plazo de 90 días, siempre se ha seguido por defecto.

    Los planes del equipo de Project Zero revise sus políticas nuevamente el próximo año, pero reveló públicamente la vulnerabilidad con un código de prueba de concepto. El libro blanco no sabe a qué versiones de Windows afecta. Pero el informe de Kaspersky de hace unos meses indica que los atacantes lo usaron para atacar nuevas versiones de Windows 10.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir