A la venta: Vulnerabilidad en Windows 8
La empresa francesa Vupen, ha puesto a la venta una vulnerabilidad al mejor estilo Zero-day en el más reciente sistema operativo de Microsof
Our first 0day for Win8+IE10 with HiASLR/AntiROP/DEP & Prot Mode sandbox bypass (Flash not needed).
Asà decÃa uno de los más recientes tweets de Vupen, una compañÃa francesa especializada en encontrar vulnerabilidades en un amplio rango de software de compañÃas como Microsoft, Adobe, Apple y Oracle.
Vupen ocupa una sombrÃa área en la investigación de seguridad informática, vendiendo vulnerabilidades a terceros, sin compartir detalles con las empresas involucradas en el software. Vupen alega que, la información ayuda a organizaciones a defenderse de hackers, y en otros casos, llevar la ofensiva también.
Vupen encontró un problema en el nuevo Windows 8 y en su navegado, Internet Explorer 10, la falla todavÃa no ha sido publicada ni parcheada por Microsoft. Esta es la primera vulnerabilidad escontrada desde su lanzamiento, ademas de varias otras en aplicaciones que corren especÃficamente en Windows 8.
Dave Forstrom, director de seguridad informática de Microsoft, alienta a los investigadores a participar en el programa coordinado de divulgación de vulnerabilidades, que pide a la gente (de Vupen) que les de tiempo para arreglar el problema antes de divulgarlo públicamente.
“Vimos el tweet, pero los detalles relacionados no han sido compartidos con nosotros” dijo Forstrom en un anuncio.
En el tweet de Vupen escrito el miercoles menciona dicho bug, permite a un hacker eludir las tecnologÃas de seguridad presentes en Windows 8 incluyendo Address Space Layout Randomisation (ASLR) Anti-return Oriented Programming y las medidas Data execution prevention (DEP), la compañÃa también indica que esto no es causa de un problema relacionado con flash de Adobe.
“Ciertamente, si el fallo es confimado, traerÃa mala reputacion para Microsoft teniendo un nuevo producto, promocionado como la plataforma más segura, con fallas ya identificadas poco después de su lanzamiento.” dijo Andrew Storms, Director de operaciones de Seguridad para nCircle.La oportunidad de explotar esta vulnerabilidad talvez se limite al recientemente lanzado Windows 8, pero, “por otro lado, nadie a confirmado que este bug también afecte a versiones anteriores de Windows e IE” dijo Storms.
Jody Melborune, un consultor y experto en test de penetración en la compañÃa de seguridad australiana HackLabs, dijo que la vulnerabilidad podrÃa ser útil para desarrolladores interesados en robar certificados de seguridad o código fuente.
Entonces, ¿cuál es el valor de la vulnerabilidad?, es difÃcil de decir. Vupen no ha publicado el precio de lista. Pero
Melbourne dijo que “El valor del bug solo aumentará con el tiempo, y por supuesto, cuanto tiempo lo mantenga Vupen y nadie más se tope con él“
Melbourne dijo que “El valor del bug solo aumentará con el tiempo, y por supuesto, cuanto tiempo lo mantenga Vupen y nadie más se tope con él“
Via : ComputerworldUK
0 Comentarios