La semana pasada os informábamos acerca de un aviso que el conocido programa de investigación encargado de desarrollar mecanismos de seguridad para proteger a los usuarios, Project Zero, había avisado a Microsoft acerca de una vulnerabilidad de día cero detectada en las librerías GDI de sus aplicaciones.
Pues bien, tan solo siete días después, otro problema similar relacionado con la seguridad y privacidad de los usuarios del software de Redmond, se repite, aunque en este caso referente a otro apartado de la misma firma. En concreto nos referimos a que Google acaba de hacer pública otra vulnerabilidad que aún sigue sin parches para su corrección y que afecta y pone en riesgo a todos aquellos que hagan uso de los navegadores implementados en Windows, hablamos de Edge e Internet Explorer.
De este modo el Project Zero del buscador ha publicado los detalles de este agujero de seguridad que aún no ha sido solucionado por parte de los de Redmond, todo ello de acuerdo con la política de su programa que revela estas vulnerabilidades 90 días después de que el proveedor fuese notificado. Aquí la vulnerabilidad se refiere a un módulo compartido por Microsoft Edge e Internet Explorer que puede llegar a bloquear ambos navegadores abriendo de este modo la puerta a posibles atacantes para obtener privilegios de administrador en los sistemas operativos afectados.
Google detecta otro fallo de seguridad de Microsoft
El análisis se llevó a cabo en la versión de 64 bits de Internet Explorer en Windows Server 2012 R2, pero tanto Internet Explorer de 32 bits como Microsoft Edge están afectados por este fallo, por lo que la misma vulnerabilidad está vigente en Windows 7, Windows 8.1 y Windows 10. Hay que tener en cuenta que Microsoft fue informada de todo ello el pasado 25 de noviembre de 2016, por lo que según la política de Google Project Zero, hoy 25 de febrero, se ha hecho público que Microsoft aún no ha entregado un parche solucionando el problema.
Tal y como sucedió en el caso similar expuesto la semana pasada, lo curioso del tema es que la propia Microsoft ha retrasado este mes el ciclo conocido como “Patch Tuesday”, por lo que ahora planea publicar actualizaciones de seguridad el próximo 14 de marzo, fecha en la que se espera que finalmente ambos fallos de seguridad sean resueltos, aunque claro, Google todavía no puede asegurarlo.
Esto nos lleva a dos importantes vulnerabilidades de seguridad diferentes aún no solucionadas por Microsoft y cuyos detalles fueron publicados por Google en muy poco tiempo, lo que no es muy comprensible es que los de Redmond no los hayan arreglado antes del lanzamiento del parche del 14 de marzo.
Fuente:https://www.softzone.es/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad