Un investigador de seguridad de Google ha publicado detalles de una vulnerabilidad en Windows 8.1 que, a tres meses después de haber sido reportada a Microsoft, no ha sido parchada.
Security Research es una rama de Google que practica revelaciones responsables, lo que significa que las vulnerabilidades recién descubiertas son comunicadas en privado al servicio de mantenimiento del software afectado. Entonces se le da una oportunidad al equipo de mantenimiento de investigar el asunto y publicar un parche para resolver el problema antes de que la falla sea comunicada al público en general, ayudando a prevenir los escenarios «día cero» en donde una vulnerabilidad de vuelve de conocimiento público antes de las protecciones contra su explotación se lleven a cabo.
Sin embargo, esta práctica no ha prevenido a la compañía de publicar una vulnerabilidad en la seguridad del sistema operativo Windows 8.1 que hasta ahora no ha sido resuelta. Un correo postal dirigido al correo de seguridad de la compañía se hizo público el mes pasado, 90 días después de haber sido revelado a Microsoft pero antes del lanzamiento del parche para la falla. Respecto a los datos de compatibilidad de la aplicación en la memoria caché, la vulnerabilidad permite que códigos arbitrarios sean ejecutados bajo privilegios de administrador (un problema serio) en las versiones de 32 y 64 bits del sistema operativo.
Microsoft ha confirmado esta vulnerabilidad, pero no ha informado porque ha permanecido sin parchar después de tres meses de haber sido notificada. «Estamos trabajando en el lanzamiento de una actualización de seguridad para arreglar el asunto de la Elevación de Privilegios», anunció la compañía el día de ayer. «Es importante mencionar que, un posible atacante que pudiera aprovechar esta falla, primero necesitaría poseer credenciales de acceso válidas y ser capaz de acceder al sistema de la máquina de forma local. Recomendamos que los clientes mantengan su software antivirus actualizado, que instalen Actualizaciones de Seguridad y activen el contrafuegos de su computadora».
En respuesta a las quejas acerca de la publicación automatizada de una vulnerabilidad no parchada, un miembro del equipo de seguridad del Project Zero de Google explicó que «viéndolo bien, el Project Zero cree que las fechas límite para la publicación de las fallas son el acercamiento más óptimo para lograr seguridad del usuario, le da a los proveedores de software un tiempo razonable para ejecutar su proceso de manejo de vulnerabilidades, mientras que respeta el derecho de los usuarios de aprender y conocer los riesgos que enfrentan. Removiendo la habilidad del vendedor de mantener ocultos los detalles de los asuntos de seguridad por tiempo indefinido, le damos a los usuarios la oportunidad de reaccionar a las vulnerabilidades de manera oportuna y de ejercer su derecho de solicitar respuesta de parte del vendedor.
Detalles de la vulnerabilidad y de la prueba de concepto pueden ser encontrados en el grupo de Google Security Research. Aun no hay parche disponible de parte de Microsoft.