Tavis Ormandy, investigador de Google conocido por haber descubierto y publicado algunas de las vulnerabilidades de Windows más recientes, ha anunciado haber encontrado una nueva vulnerabilidad 0-day en las versiones actuales de Windows. Tavis expuso este grave fallo en la lista de correo Full Disclosure, donde afirmó que podría ser usada para escalar privilegios, provocar un cuelgue del sistema o ejecutar código arbitrario.
Este investigador se encontraría ahora mismo trabajando en un exploit funcional que se aprovechase de esta vulnerabilidad, para lo cual ha solicitado ayuda a los miembros de la lista de correo mencionada anteriormente. Tavis, que siempre ha sido bastante crítico con los fallos presentes en sistemas de Microsoft, ha declarado que este fallo no es tan grave como otros descubiertos con anterioridad, ya que no puede explotarse de forma remota.
Por su parte, Microsoft ha reconocido esta vulnerabilidad y han afirmado encontrarse trabajando en una solución. Es importante que Microsoft haya reconocido este fallo y esté preparando una solución, porque el investigador de Google que la ha descubierto es un firme defensor de la política full disclosure, lo que implica publicar la vulnerabilidad y el exploit tan pronto como estos sean descubiertos.
Esto no tiene por qué ser estrictamente malo para las empresas afectadas y en ocasiones es la única manera de forzar que se solucione un fallo conocido desde hace meses. No obstante, al tratarse de un fallo en un sistema operativo tan extendido como Windows, este descubrimiento podría poner en mano de los ciberdelincuentes una nueva herramienta, aunque el alcance de esta se vea limitada por necesitar acceso físico a la máquina que se desea comprometer.
Políticas de revelación de vulnerabilidades aparte, lo cierto es que el trabajo de investigadores como Tavis es necesaria, en gran parte porque ellos se encuentran de parte de los usuarios y no de los ciberdelincuentes, que no dudan en aprovechar este tipo de vulnerabilidades en su propio beneficio.