Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/01/2015
Google Project Zero publica dos vulnerabilidades más para Windows
El equipo de Google Project Zero sigue publicando vulnerabilidades automáticamente tras 90 días desde su detección y comunicación al afectado. Estas dos vulnerabilidades se unen a otra publicada el 29 de diciembre, que aún no había sido parcheada por Microsoft en el momento de publicación de la vulnerabilidad.
Project Zero, el equipo de Google dedicado a buscar vulnerabilidades en software de uso común, ha vuelto a poner su ojo en Microsoft tras la vulnerabilidad publicada a finales de 2014, y ha publicado en los últimos días detalles sobre dos nuevas vulnerabilidades que afectan a Windows.
La primera de ellas (#128) afecta a equipos con Windows 7 y 8 en versiones de 32 y 64 bits, y podría permitir la revelación de información sensible así como evadir controles de seguridad, y aún no se ha publicado parche para la misma.
Por otra parte, la otra vulnerabilidad publicada (#138) permitiría, desde un servidor SMBv2 malicioso, forzar a los clientes conectados a abrir ficheros arbitrarios. También afecta a Windows 7 y 8 en versiones de 32 y 64 bits.
En este caso la información ha sido publicada unos días antes del límite de 90 días ya que Google recibió respuesta de Microsoft indicando que el problema no cumple con los requisitos de un boletín de seguridad, que requeriría demasiado control por parte del atacante, y que no consideran los ajustes de políticas de grupo como una funcionalidad de seguridad, por lo que no se va a solucionar el problema.