Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/01/2015
Project Zero, l’equip de Google dedicat a buscar vulnerabilitats en el software d’ús comú, ha tornat a escollir Microsoft després de la vulnerabilitat publicada a finals de 2014, i ha publicat en els últims dies detalls sobre dos noves vulnerabilitats que afecten Windows.
La primera d’estes (#128) afecta equips amb Windows 7 i 8 en versions de 32 i 64 bits, i podria permetre la revelació d’informació sensible així com evadir controls de seguretat, i encara no s’ha publicat parche per a esta.
D’altra banda, l’altra vulnerabilitat publicada (#138) permetria, des d’un servidor SMBv2 maliciós, forçar els clients connectats a obrir fitxers arbitraris. També afecta Windows 7 i 8 en versions de 32 i 64 bits.
En este cas, la informació ha sigut publicada uns dies abans del límit de 90 dies, ja que Google va rebre una resposta de Microsoft la qual indicava que el problema no complix amb els requisits d’un butlletí de seguretat, que requeriria massa control per part de l’atacant, i que no consideren els ajustos de polítiques de grup com una funcionalitat de seguretat, per la qual cosa no es va a solucionar el problema.