Google revela vulnerabilidad de día 0 sin parches en Windows

La revelación de Google de una vulnerabilidad de día 0 sin parchear en Windows no es realmente algo nuevo, lo han estado haciendo desde el año pasado. microsoft incluso Criticado su comportamiento por poner en riesgo a millones de usuarios de Windows. Google hoy publicado una nueva vulnerabilidad de día 0 en Windows que aún no está parcheada. Google lo informó a Microsoft el viernes 21 de octubre y, según su política de 7 días, lo ha revelado hoy. creo que su política para vulnerabilidades críticas explotadas activamente no es bueno tanto para los fabricantes de software como para los usuarios finales. Incluso después de saber que esta vulnerabilidad es particularmente grave y está siendo explotada activamente, quieren publicitarla. No entiendo cómo una empresa de software puede corregir un error de seguridad en un software que tiene millones de líneas de código y se ejecuta en cientos de millones de máquinas de diferentes configuraciones en 7 días.

La vulnerabilidad de Windows es una escalada de privilegios locales en el kernel de Windows que se puede usar como un escape de la zona de pruebas de seguridad. Se puede activar a través de la llamada al sistema win32k.sys NtSetWindowLongPtr() para el índice GWLP_ID en un identificador de ventana con GWL_STYLE establecido en WS_CHILD. La zona de pruebas de Chrome bloquea las llamadas del sistema win32k.sys usando el Bloqueo de Win32k mitigación en Windows 10, que evita la explotación de esta vulnerabilidad de escape de sandbox.

Con suerte, Microsoft lanzará una solución para esta vulnerabilidad a través de Windows Update pronto.