Google ha publicado recientemente los detalles de una vulnerabilidad en Windows 8.1 que podría hacer que los usuarios con pocos permisos obtengan el control administrativo total de un equipo que ejecuta el sistema operativo, informa Slash Gear.
Esta vulnerabilidad fue expuesta como parte del proyecto Project Zero de Google, que rastrea bugs en software y reporta exploits a los propietarios, para que puedan ser solucionados. 90 días más tarde, Google publica automáticamente el exploit después de que sus efectos hayan sido neutralizados. En este caso, sin embargo, Google parece haber publicado el error a pesar de Microsoft aún no ha emitido una solución para él, según explica SC Magazine.
La revelación del exploit en Windows 8.1 ha dado lugar a un debate en Internet sobre los riesgos de publicar vulnerabilidades de forma automática tras 90 días. En respuesta a los comentarios sobre Project Zero, el Ingeniero de Seguridad de Google Ben Hawkes agradeció a los usuarios por la “discusión robusta” sobre esta política, pero defendió la decisión de Google de atenerse a la fecha límite de 90 días.
Hawkes escribió: “Project Zero cree que los plazos de divulgación son actualmente la mejor aproximación para la seguridad del usuario, puesto que le da a los fabricantes de software una cantidad de tiempo justa y razonable para activar su proceso de manejo de vulnerabilidades, al tiempo que respeta los derechos de usuarios a aprender y entender los riesgos a los que se enfrentan”.
“Vamos a monitorizar los efectos de esta política muy de cerca (…) Estamos contentos de decir que los resultados iniciales han demostrado que la mayoría de los bugs que hemos reportado usando la fecha tope de divulgación se solucionaron dentro del plazo”, añadió.
En declaraciones a The Register por correo electrónico, un portavoz de Microsoft explicó que la compañía está trabajando en una actualización de seguridad para arreglar el exploit, y agregó: “Es importante notar que para que un potencial atacante tenga éxito atacando un sistema Windows 8.1, primero necesitaría tener credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local a una máquina específica. Animamos a los clientes a mantener actualizado su software antivirus, instalar todas las actualizaciones de seguridad disponibles y activar el cortafuegos en su ordenador”
Josep Albors a partir de un texto de Alan Martin en WeLiveSecurity