Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/01/2015
Google Project Zero publica dos vulnerabilitats més per a Windows
L’equip de Google Project Zero continua publicant vulnerabilitats automàticament després de 90 dies des de la seua detecció i comunicació a l’afectat. Estes dos vulnerabilitats s’unixen a una altra publicada el 29 de desembre, que Microsoft encara no li havia posat "parches" en el moment de la publicació de la vulnerabilitat.
Project Zero, l’equip de Google dedicat a buscar vulnerabilitats en el software d’ús comú, ha tornat a escollir Microsoft després de la vulnerabilitat publicada a finals de 2014, i ha publicat en els últims dies detalls sobre dos noves vulnerabilitats que afecten Windows.
La primera d’estes (#128) afecta equips amb Windows 7 i 8 en versions de 32 i 64 bits, i podria permetre la revelació d’informació sensible així com evadir controls de seguretat, i encara no s’ha publicat parche per a esta.
D’altra banda, l’altra vulnerabilitat publicada (#138) permetria, des d’un servidor SMBv2 maliciós, forçar els clients connectats a obrir fitxers arbitraris. També afecta Windows 7 i 8 en versions de 32 i 64 bits.
En este cas, la informació ha sigut publicada uns dies abans del límit de 90 dies, ja que Google va rebre una resposta de Microsoft la qual indicava que el problema no complix amb els requisits d’un butlletí de seguretat, que requeriria massa control per part de l’atacant, i que no consideren els ajustos de polítiques de grup com una funcionalitat de seguretat, per la qual cosa no es va a solucionar el problema.