Google detecta una vulnerabilidad de día cero en Windows 8.1

El equipo Project Zero de Google ha publicado el hallazgo de una nueva vulnerabilidad de día cero en Windows 8.1. Según el blog Naked Security de Sophos, lo que llama la atención de esta noticia es que Google ha informado de la vulnerabilidad el 29 de diciembre, después de haber dado a Microsoft 90 días de plazo para parchear el fallo. Es posible que Microsoft corrija este fallo en sus boletines de seguridad de enero, que se publicarán el próximo día 13.

“La controversia no se debe tanto a la gravedad de esta vulnerabilidad, sino más bien a la política de Google con respecto a la divulgación de sus hallazgos”, señala Chester Wisniewski, asesor de seguridad senior de Sophos. “El equipo Project Zero ofrece a los desarrolladores de software de 90 días para corregir las vulnerabilidades antes de que se produzca su divulgación completa automática. En este caso, Microsoft fue notificada el 30 de septiembre, ya que la divulgación se produjo el 29 de diciembre de 2014”.

La vulnerabilidad es un defecto de elevación de privilegios (EOP) en NtApphelpCacheControl, una función de Windows 8.1 que se utiliza para obtener información de compatibilidad de aplicaciones de almacenamiento en caché. Este defecto permite saltarse el control de cuentas de usuario (UAC), lo que permite que una aplicación maliciosa pueda ejecutarse como administrador.

Aunque no existe de momento un parche, desde Sophos comunican que hay varias mitigaciones que se pueden emplear para reducir el riesgo de este defecto. Los analistas señalan que el uso del UAC en su configuración máxima previene que el defecto se explote sin emitir una advertencia de seguridad. Además, si no inicia sesión en el equipo con credenciales administrativas para navegar por la web o realizar tareas diarias, no hay UAC de eludir.