Google Project Zero detecta una vulnerabilidad en Windows 10 S

Nuevo problema de seguridad, en este caso relativo a Windows 10 S, que ha sido descubierto por parte de Google Project Zero, los mismos que descubrieron Spectre y Meltdown.

Además de ser el buscador más popular, Google también tiene muchas divisiones, como la división que se encarga de buscar vulnerabilidades, denominada Google Project Zero. Esta división se dio a conocer para el gran público después de que se dieran a conocer las vulnerabilidades Meltdown y Spectre que afectan a procesadores de Intel, AMD y ARM. Ahora han detectado un nuevo problema de seguridad, este de grado medio, dentro de los Windows 10 S de Microsoft, el cual está integrado en el código de modo usuario (UMCI) habilitado.

Windows 10 S es un sistema operativo especialmente enfocado a la seguridad, el cual implementa un gran número de restricciones, entre ellos la imposibilidad de ejecutar aplicaciones Win32. Project Zero ha encontrado un fallo, el cual permite la ejecución de un código arbitrario en un sistema con UMCI habilitado, como es el caso de Device Guard, que está habilitado por defecto en Windows 10 S. Solo afecta a los que cuenten con Device Guard habilitado y no se puede explotar de manera remota, así que se reduce el potencial impacto.

Google aviso de este problema a Microsoft el pasado 19 de enero, pero la compañía desarrolladora del sistema operativo aún no ha implementado un parche antes de la actualización de abril. Microsoft solicito un plazo de 14 días a Google, informando que lo solucionarían en mayo. El plazo supera la fecha de gracia dada por Google y la solicitud de más tiempo, ha sido rechazada.

Microsoft expuso a Google la pasada semana esta solicitud de ampliación de la fecha límite para hacer pública la información, alegando que se solucionaría con la actualización Redstone 4, algo rechazado por Google, alegando que Redstone 4 no tenía fecha en firme y que esta actualización no implementaría un parche ampliamente disponible.

No es una norma escrita, pero normalmente las compañías de seguridad, suelen dar 90 días para que se puedan solventar estos problemas de seguridad, para evitar que atacantes puedan aprovecharse de las vulnerabilidades. Los 90 días de gracia de Google terminaron ayer, así que se ha publicado la información. Esto obligara a Microsoft a lanzar un hotfix antes de la actualización prevista.

Fuente: neowin

Salir de la versión móvil