Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/01/2015
Project Zero, el equipo de Google dedicado a buscar vulnerabilidades en software de uso común, ha vuelto a poner su ojo en Microsoft tras la vulnerabilidad publicada a finales de 2014, y ha publicado en los últimos días detalles sobre dos nuevas vulnerabilidades que afectan a Windows.
La primera de ellas (#128) afecta a equipos con Windows 7 y 8 en versiones de 32 y 64 bits, y podría permitir la revelación de información sensible así como evadir controles de seguridad, y aún no se ha publicado parche para la misma.
Por otra parte, la otra vulnerabilidad publicada (#138) permitiría, desde un servidor SMBv2 malicioso, forzar a los clientes conectados a abrir ficheros arbitrarios. También afecta a Windows 7 y 8 en versiones de 32 y 64 bits.
En este caso la información ha sido publicada unos días antes del límite de 90 días ya que Google recibió respuesta de Microsoft indicando que el problema no cumple con los requisitos de un boletín de seguridad, que requeriría demasiado control por parte del atacante, y que no consideran los ajustes de políticas de grupo como una funcionalidad de seguridad, por lo que no se va a solucionar el problema.