Google ha decidido una vez más que Microsoft se mueve demasiado lento en el frente de la seguridad - dejando caer otro ataque a manera de prueba de concepto en contra de una falla en Windows 7 y 8,1 en la que Redmond intentó y no pudo arreglar esta semana.
La falla está presente en Windows sobre sus arquitecturas de 32 y 64 bits, y puede revelar accidentalmente información sensible o permitir a un malintencionado eludir los controles de seguridad, al parecer.
El Proyecto Zero de Google publicó la falla en base a su política de divulgación de 90 días arreglalo-o-de-lo-contrario, en la que esta semana ha alterado los ánimos de su competidor después de que otra grave falla fue revelada dos días antes de que Redmond emitiera una corrección.
Microsoft habría pedido que la divulgación de dicha falla en particular se retrasara un poco y que pudiera atenderse en el pasado martes de parches, y así reducir el impacto en los clientes.
El Director senior de Microsoft, Chris Betz, dijo que las acciones de Google no son útiles, ya que tienen el potencial de hacer daño a los usuarios de Windows.
Google parece estar arrojando retos a todos los internautas que no toman en serio las actualizaciones: pero junto con su apretada regla de 90 días, el gigante del software también se negó a corregir una falla grave WebView en su propia plataforma Android 4.3 (vieja, pero muy popular).
Se estima que cerca de mil millones de usuarios - 60 por ciento de la base de clientes de Android - serían afectados a menos que actualizaran sus teléfonos y tabletas. Esta hazaña no sera sencilla, ya que los fabricantes de dispositivos y empresas de telecomunicaciones tienen que entrar en el acción y publicar las últimas actualizaciones de Google.
Una alternativa es que los usuarios instalen sistemas operativos modificados como CyanogenMod que, aunque estable, pueden requerir un proceso demasiado complicado e incómoda para las masas no-técnicas.
La vulnerabilidad de Windows revelada recientemente afectada por la función CryptProtectMemory que junto con una clave de cifrado podría permitir entre procesos compartir la memoria y extraer el ID de la sesión de inicio.
El defecto esta en la ejecución CNG.sys, la cual falla en ejecutar comprobaciones de tokens adecuadas, lo que significa que sesiones de inicio de un usuario normal podrían descifrar o cifrar a su gusto datos para esa sesión de inicio.
Fuente: TR
