Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/01/2015
Es publica una vulnerabilitat de dia zero en Windows
La vulnerabilitat ha sigut publicada per l'equip Project Zero de Google, que es dedica a buscar vulnerabilitats en programari d'ús comú i reporta les vulnerabilitats trobades als fabricants perquè puguen solucionar els problemes detectats.Esta vulnerabilitat va ser descoberta el passat 30 de setembre, i alliberada públicament el 29 de desembre, després de passar els 90 dies que Google posa de termini per a corregir les vulnerabilitats trobades per l'equip de Project Zero.
La vulnerabilitat residix en la funció NtApphelpCacheControl, que no comprova de forma adequada l'usuari que fa crida a la funció, de manera que permet atorgar privilegis d'administració a processos que no en tenen.
La vulnerabilitat ha sigut provada en Windows 8.1 i, per a explotar-la, és necessari tindre accés local i un usuari vàlid en el sistema atacat.
Encara no s'hi ha publicat cap solució. S'espera que se'n publique una dimarts que ve dins dels butlletins del mes de gener.
Sistemes Afectats:Windows 8.1
Referències:None
Solució:Aún no se ha publicado ninguna solución. Se espera que se publique el próximo martes dentro de los boletines del mes de enero.
Notes:Google Security Research: Issue #118