Header Ads Widget

Ticker

6/recent/ticker-posts

Google reveló un error de día cero que afecta al sistema operativo Windows

 El director del Proyecto Zero de Google ha revelado un error de día cero en el sistema operativo Windows, que está siendo explotado activamente. La vulnerabilidad afecta de Windows 7 a Windows 10 OS y forma un ataque de dos partes combinado con un error de Chrome . Si bien el problema de Chrome se ha resuelto con una actualización, Microsoft aún no ha respondido a su error de Windows.

El error de Windows permite el ataque RCE

Google reveló un error de día cero que afecta al sistema operativo Windows
Google reveló un error de día cero que afecta al sistema operativo Windows

Si bien las vulnerabilidades en los softwares son comunes en estos días, un OEM confiable está determinado por el tiempo que se ha tomado para corregir esa vulnerabilidad. Los investigadores de seguridad y los cazadores de errores revelan todo lo que descubren al OEM en cuestión para obtener créditos, pero si no responden dentro del tiempo estipulado, proceden a publicarlo de todos modos.

Una de esas publicaciones es de Google, cuyo equipo de Project Zero ha publicado un informe sobre la vulnerabilidad de Windows. El líder del equipo, Ben Hawkes , ha tuiteado sobre un error de día cero en Windows, registrado como CVE-2020-17087 . Esto podría ser parte de un ataque de dos etapas, donde un atacante puede encadenarlo a un error en Chrome de Google ( CVE-2020-15999 ).

El error de Chrome descubierto la semana pasada permitirá que un atacante ejecute un código malicioso y se solucionó con una actualización de Chrome ( v86.0.4240.111 ) la semana pasada. Ahora apareció un error en el kernel de Windows, que afectaba a todas las versiones, desde los sistemas Windows 7 hasta Windows 10. Esto permite que un atacante ejecute el código malicioso en el sistema operativo Windows escapando del contenedor de Chrome.

Denominado como Sandbox Escape , un atacante puede explotar ambos errores para ejecutar un código malicioso en Chrome obsoleto y eventualmente pasar al sistema operativo subyacente. Si bien Ben informó a Microsoft la semana pasada y les dio una semana para responder con un parche, Microsoft aún no ha aparecido. Por lo tanto, ahora documentó el problema con un código de prueba de concepto.

Shane Huntley , director del Grupo de Análisis de Amenazas (TAG) de Google, incluso votó a favor de esta revelación Si bien Ben no ha mencionado quién explota los errores, en su mayoría podrían ser los piratas informáticos respaldados por el estado nacional. Microsoft puede presentar un parche para esto el 10 de noviembre, cuando lance la próxima actualización de seguridad del martes.

Publicar un comentario

0 Comentarios