A la venta: Vulnerabilidad en Windows 8

A la venta: Vulnerabilidad en Windows 8

La empresa francesa Vupen, ha puesto a la venta una vulnerabilidad al mejor estilo Zero-day en el más reciente sistema operativo de Microsof
 
Our first 0day for Win8+IE10 with HiASLR/AntiROP/DEP & Prot Mode sandbox bypass (Flash not needed).
Así decía uno de los más recientes tweets de Vupen, una compañía francesa especializada en encontrar vulnerabilidades en un amplio rango de software de compañías como Microsoft, Adobe, Apple y Oracle.
Vupen ocupa una sombría área en la investigación de seguridad informática, vendiendo vulnerabilidades a terceros, sin compartir detalles con las empresas involucradas en el software. Vupen alega que, la información ayuda a organizaciones a defenderse de hackers, y en otros casos, llevar la ofensiva también.
Vupen encontró un problema en el nuevo Windows 8 y en su navegado, Internet Explorer 10, la falla todavía no ha sido publicada ni parcheada por Microsoft. Esta es la primera vulnerabilidad escontrada desde su lanzamiento, ademas de varias otras en aplicaciones que corren específicamente en Windows 8.
Dave Forstrom, director de seguridad informática de Microsoft, alienta a los investigadores a participar en el programa coordinado de divulgación de vulnerabilidades, que pide a la gente (de Vupen) que les de tiempo para arreglar el problema antes de divulgarlo públicamente.
 
Vimos el tweet, pero los detalles relacionados no han sido compartidos con nosotros” dijo Forstrom en un anuncio.
En el tweet de Vupen escrito el miercoles menciona dicho bug, permite a un hacker eludir las tecnologías de seguridad presentes en Windows 8 incluyendo Address Space Layout Randomisation (ASLR) Anti-return Oriented Programming y las  medidas Data execution prevention (DEP), la compañía también indica que esto no es causa de un problema relacionado con flash de Adobe.
 
Ciertamente, si el fallo es confimado, traería  mala reputacion para Microsoft teniendo un nuevo producto, promocionado como la plataforma más segura, con fallas ya identificadas poco después de su lanzamiento.” dijo Andrew Storms, Director de operaciones de Seguridad para nCircle.
 
La oportunidad de explotar esta vulnerabilidad talvez se limite al recientemente lanzado Windows 8, pero, “por otro lado, nadie a confirmado que este bug también afecte a versiones anteriores de Windows e IE” dijo Storms.
Jody Melborune, un consultor y experto en test de penetración en la compañía de seguridad australiana HackLabs, dijo que la vulnerabilidad podría ser útil para desarrolladores interesados en robar certificados de seguridad o código fuente.
Entonces, ¿cuál es el valor de la vulnerabilidad?, es difícil de decir. Vupen no ha publicado el precio de lista. Pero
Melbourne dijo que “El valor del bug solo aumentará con el tiempo, y por supuesto, cuanto tiempo lo mantenga Vupen y nadie más se tope con él

Publicar un comentario

0 Comentarios