Vulnerabilidad día cero de ejecución remota de código en Microsoft 3D Viewer para Windows 10. No hay parche disponible, así que no abra ningún archivo

Especialistas en ciberseguridad reportan el hallazgo de una peligrosa vulnerabilidad en Microsoft 3D Viewer, una herramienta de visualización de objetos 3D y realidad aumentada lanzada por primera vez en Windows 10 1703. Acorde al reporte, la explotación exitosa de esta falla permitiría a los actores de amenazas ejecutar código arbitrario en las implementaciones afectadas.

La vulnerabilidad requiere de la interacción de los usuarios para ser explotada exitosamente, engañando a los usuarios afectados para visitar sitios web maliciosos o descargar archivos infestados de malware.

Al parecer, la falla reside específicamente en el análisis de archivos 3MF y es resultado de la ausencia de verificación para la existencia de objetos antes de realizar operaciones. Los actores de amenazas pueden explotar la falla para la ejecución de código en el contexto del proceso actual con baja integridad. Este error fue notificado a Microsoft a través de The Zero Day Initiative (ZDI) por el especialista en ciberseguridad Mat Powell.

El reporte fue enviado por ZDI a Microsoft junto con una solicitud para publicar esta falla como una vulnerabilidad día cero. Si bien la compañía recibió el informe e indicó que no cumplía con las características establecidas para su análisis como una falla día cero, se acordó realizar una revisión detallada.

Hasta el momento no hay parches de seguridad disponibles, así que dada la naturaleza de la vulnerabilidad, los especialistas aseguran que la única forma de mitigar el riesgo de explotación es restringiendo cualquier interacción con la aplicación afectada, al menos hasta el lanzamiento de los parches de seguridad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).