Google acaba de hacer pública una vulnerabilidad de Windows antes de que Microsoft tuviera tiempo de parchearla. Es la segunda vez que pasa en tres meses, pero esta vez tenían excusa: se habían cumplido ya los 90 días de cortesía que contempla la política de divulgación de bugs de la compañía.
El fallo en cuestión afecta a la interfaz de dispositivos gráficos (GDI) de Windows, una biblioteca que permite usar gráficos en dispositivos de salida como monitores e impresoras. Según el ingeniero Mateusz Jurczyk, de Google, un atacante podría explotar el fallo para leer el contenido de la memoria del usuario mediante un metaarchivo EMF malicioso. Estos metaarchivos podrían ocultarse en otros documentos como un .docx de Microsoft Word. La gravedad del ataque dependería de dónde se ejecutase el EMF en la memoria y qué tipo de datos estuvieran presentes en los bytes más cercanos.
El fallo formaba parte de un compendio de vulnerabilidades que habían sido descubiertas en marzo de 2016 por el propio Jurczyk y parcheadas en junio mediante una actualización de seguridad de Windows. Sin embargo, Jurczyk advirtió en noviembre a Microsoft que el parche era insuficiente y el sistema continuaba siendo, en parte, vulnerable a un ataque malicioso.
Google tiene una política clara para los fallos de seguridad que descubren sus ingenieros: si la compañía responsable del fallo no lanza el parche en un plazo de 90 días, la vulnerabilidad se hace pública automáticamente.
Han pasado 90 días y Microsoft no ha conseguido solucionar el problema, así que el fallo de seguridad se ha publicado de forma automática. Microsoft debía lanzar un parche el martes pasado, pero la actualización de seguridad se retrasó hasta marzo —de acuerdo con Microsoft— por un “problema de última hora que podría afectar a algunos clientes”.
En la anterior ocasión, Google esperó apenas 10 días desde que notificó a Microsoft el hallazgo hasta hacer público el fallo de seguridad. Los de Redmond no se lo tomaron nada bien: “Nosotros creemos en la transparencia y en hacer públicas las vulnerabilidades de nuestros sistemas, pero lo que hizo Google fue poner en riesgo a los usuarios de Windows”, comentó un portavoz de la compañía en aquella ocasión