Los usuarios de Windows están expuestos a ataques una vez más, dado que un ingeniero de Google Project Zero ha revelado una vulnerabilidad no parcheada en el sistema operativo. El miembro de Google Project Zero Mateusz Jurczyk descubrió una vulnerabilidad en gdi32.dll que permite a los atacantes amenazar sistemas Windows, y de acuerdo a su post en su blog, esta falla ha sido reportada al gigante de software en marzo de 2016. Microsoft admitió la vulnerabilidad y trató de parchearla con el lanzamiento MS16-074 en junio de 2016, pero como Jurczyk afirma, solo se ha arreglado parte del problema.
«Hemos descubierto que todos los problemas relacionados con DIB se han ido,» ha dicho. «Como resultado, es posible bytes no inicializados a través de pixel de color, en Internet Explorer y otros clientes GDI que permiten la extracción de datos de imágenes mostradasal atacante,» explica para los usuarios que sepan más de tecnología.
«Hemos descubierto que todos los problemas relacionados con DIB se han ido,» ha dicho. «Como resultado, es posible bytes no inicializados a través de pixel de color, en Internet Explorer y otros clientes GDI que permiten la extracción de datos de imágenes mostradasal atacante,» explica para los usuarios que sepan más de tecnología.Jurczyk se dirigió a Microsoft una vez más para reportar la vulnerabilidad el 16 de noviembre de 2016, pero dado que la compañía no ha lanzado un nuevo parche, ha decidido hacerlo público como parte de la política de transparencia Google Project Zero. Como parte de este programa, los vendedores tienen 90 días para arreglar problemas de seguridad tras la primera notificación, y si no lo hicieran, los detalles se revelarían al público.
Microsoft no ha comentado todavía sobre esta revelación, pero el próximo parche de la compañía tendrá lugar el 14 de marzo, dado que el lanzamiento de este mes ha sido ya retrasado. Esto significa que los usuarios siguen siendo vulnerables a ataques hasta por lo menos el mes que viene, si el arreglo para esta vulnerabilidad está de hecho incluida en el ciclo de parches. No se sabe si el parche para este bug estaba incluido en el parche de febrero 2017.
Esta no es la primera vez que Google hace pública una falla de seguridad sin parchear, dado que en noviembre de 2016 hubo una revelación similar, cuando la compañía publicó detalles de una falla de seguridad de Windows que permitía a los cibercriminales recibir privilegios de administrador en sistemas vulnerables.
Esa vez, Microsoft criticó a Google por revelar el bug de seguridad, explicando que el gigante de las búsquedas puso a todos los usuarios de Windows en riesgo.
«Creemos que que la participación responsable en la industria tecnológica pone primero al cliente, y esto requiere revelaciones de vulnerabilidades coordinadas. La decisión de Google de revelar esta vulnerabilidad antes que los parches estén disponibles y hayan sido probados es decepcionante, y coloca a los clientes en riesgo incrementado,» dijo entonces el jefe de Windows Terry Myerson.
