Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
02/11/2016
Elevació de privilegis sense corregir en Microsoft Windows
Google ha publicat una vulnerabilitat greu que estaria sent explotada massivament i afecta Microsoft Windows.La vulnerabilitat no resolta afectaria Microsoft Windows, podria permetre a una elevació de privilegis en el sistema i usar-los per a eludir la 'sandbox' de seguretat. L’error podria activar-se a través d’una crida a la funció del sistema 'NtSetWindowLongPtr' per a l’índex 'GWLP_ID' en un programa controlador de finestres amb 'GWL_STYLE' establit a 'WS_CHILD'.
Els de Mountain View aprofiten per a confirmar que el seu navegador Chrome bloqueja les crides al sistema win32k.sys per mitjà de la mitigació de bloqueig de Win32k en Windows 10, la qual cosa prové de l’explotació d’aquesta vulnerabilitat per a eludir la 'sandbox'.
Sistemes Afectats:Microsoft Windows
Referències:None
Solució:Aplicar les actualitzacions quan Microsoft les distribuïsca. Fins ara no hi ha solució.
Notes:Disclosing vulnerabilities to protect users
https://security.googleblog.com/2016/10/disclosing-vulnerabilities-to-protect.html
Elevación de privilegios en Windows 8.1
http://unaaldia.hispasec.com/2015/01/elevacion-de-privilegios-en-windows-81.html
una-al-dia (26/10/2016) Actualización de Adobe Flash Player para evitar un 0-day
http://unaaldia.hispasec.com/2016/10/actualizacion-de-adobe-flash-player.html