Google ha publicado detalles acerca de una vulnerabilidad de Windows 10, dejando a millones de usuarios en situación de riesgo, cuando Microsoft aún no tiene el parche
Esta NO es la primera vez que Google ha hecho pública dicha información antes de la disponibilidad de una solución, ya que da a los fabricantes de software de un período de siete días para liberar un parche. Hace dos años, la compañía informó acerca de un fallo de seguridad sin parches de Windows 8.1 y posteriormente se cerró por Microsoft para revelar detalles acerca de otra vulnerabilidad de Windows 8.1 antes de ser parcheado.
De acuerdo con el informe del 31 de octubre, la vulnerabilidad de Windows 10 es "especialmente grave", ya que los datos de Google ha demostrado que está siendo explotada activamente. Los detalles de la vulnerabilidad son los siguientes:
La vulnerabilidad de Windows es una elevación local de privilegios en el kernel de Windows que se puede utilizar como un escape entorno limitado de seguridad. Puede ser provocada por el sistema win32k.sys y llamar a NtSetWindowLongPtr() para el índice GWLP_ID en un identificador de ventana con GWL_STYLE que establece en WS_CHILD. Bloques de sistema sandbox de Chrome win32k.sys llama mediante el bloqueo de mitigación Win32k en Windows 10, lo que impide la explotación de esta vulnerabilidad.
Microsoft aún no ha publicado un aviso de seguridad desde hace diez días que se dio a conocer en privado por Google. Sin embargo, la compañía había dicho previamente que las cuestiones relacionadas con el sistema operativo u otro software complejo no se pueden fijar en la ventana de siete días que Google ofrece, antes de tomar datos a disposición del público. Esta vez podría llegar a ser un gran problema para el gigante del software si no actúa rápidamente.