Esta es la segunda vez en menos de un mes en el equipo de investigación de seguridad de la Google conocido como Project Zero dio a conocer detalles de la vulnerabilidad en el sistema operativo de Microsoft, después de sus 90 días divulgación pública política plazo.
Equipo de Google Project Zero encuentra habitualmente vulnerabilidades en diferentes productos de diferentes empresas. Las vulnerabilidades luego son reportados a los proveedores de software afectadas y si no parchear los fallos en 90 días, Google hace automáticamente la vulnerabilidad junto con su datos pública.
DIVULGACIÓN DE DOS AGUJEROS DE SEGURIDAD EN MENOS DE UN MES
Dos semanas atrás, el equipo de Google Project Zero reveló detalles de una elevación de privilegios (EOP) vulnerabilidad que afecta de Windows 8.1 que pueden haber permitido a los piratas informáticos para modificar el contenido o incluso apoderarse de ordenadores de las víctimas por completo, dejando a millones de usuarios vulnerables.
En ese momento, Microsoft criticó Google para revelar la falla de seguridad de Windows 8.1 en el público justo antes de que fuera planeando para arreglarlo. Según Microsoft, Windows 8.1 vulnerabilidad divulgada por Google puede haber potencialmente expuestos los usuarios del sistema operativo para los piratas informáticos.
Sin embargo, la liberación de los detalles con la prueba de concepto para el segundo agujero de seguridad en Microsoft Windows 8.1 sólo dos días antes de que Microsoft planeaba parchear el error indica que el proyecto Google cero se determina a que cumpla el plazo de 90 días para la fijación de los defectos del software.
MICROSOFT vs GOOGLE
Aunque, Microsoft está muy molesto con plazo de divulgación de 90 días impuesta por el equipo de Project Zero de Google. El equipo informó a la nueva elevación de falla privilegio de Microsoft el 13 de octubre.
En noviembre, Microsoft pidió a Google para una ampliación del plazo hasta febrero de 2015, cuando se tiene previsto abordar la cuestión. Sin embargo, el gigante de los buscadores se negó. Pero más tarde, cuando Microsoft se comprometió a abordar la vulnerabilidad en enero martes de parches, Google todavía se negó a extender su plazo hasta por dos días.
"Le pedimos a Google para trabajar con nosotros para proteger a los clientes mediante la retención de datos hasta el martes, 13 de enero, cuando vamos a liberar una solución", dijo Chris Betz, director senior de Centro de Respuestas de Seguridad de Microsoft, en una entrada de blog el domingo. "A pesar de seguir adelante mantiene el cronograma anunciado por Google para la divulgación, la decisión se siente menos como principios y más como un 'te pillé", con los clientes a los que puedan sufrir como resultado. "
DETALLES TÉCNICOS DE LA FALLA NUEVO EOP
Según el equipo de seguridad de Google, perfiles de usuario se utiliza para crear ciertos directorios y montar las colmenas de los usuarios tan pronto como un usuario entra en un ordenador. Aparte de la carga de las colmenas, el directorio de perfil de base se crea en una cuenta con privilegios, que es seguro, ya que el usuario normal requiere privilegios de administrador para hacerlo.
"Sin embargo parece que hay un error en la forma en que maneja la suplantación, los primeros recursos en el perfil se crean bajo el usuario de manera, pero esto cambia para hacerse pasar por parte del sistema local de la manera a través de", dijo Google. "Todos los recursos creados mientras personificando sistema local podrían ser explotables para elevar privilegios. Tenga en cuenta que esto ocurre cada vez que el usuario inicie sesión en su cuenta, no es algo que sólo ocurre durante el aprovisionamiento inicial del perfil local."
Se ha publicado una prueba de concepto (PoC) que demuestra el ataque al sistema operativo 8.1 de Microsoft Windows, pero los expertos han confirmado que la vulnerabilidad también afecta a Windows 7.
No comments