Imagen: Getty

Google acaba de hacer p√ļblica una vulnerabilidad de Windows antes de que Microsoft tuviera tiempo de parchearla. Es la segunda vez que pasa en tres meses, pero esta vez ten√≠an excusa: se hab√≠an cumplido ya los 90 d√≠as de cortes√≠a que contempla la pol√≠tica de divulgaci√≥n de bugs de la compa√Ī√≠a.

Advertisement

El fallo en cuesti√≥n afecta a la interfaz de dispositivos gr√°ficos (GDI) de Windows, una biblioteca que permite usar gr√°ficos en dispositivos de salida como monitores e impresoras. Seg√ļn el ingeniero Mateusz Jurczyk, de Google, un atacante podr√≠a explotar el fallo para leer el contenido de la memoria del usuario mediante un metaarchivo EMF malicioso. Estos metaarchivos podr√≠an ocultarse en otros documentos como un .docx de Microsoft Word. La gravedad del ataque depender√≠a de d√≥nde se ejecutase el EMF en la memoria y qu√© tipo de datos estuvieran presentes en los bytes m√°s cercanos.

El fallo formaba parte de un compendio de vulnerabilidades que habían sido descubiertas en marzo de 2016 por el propio Jurczyk y parcheadas en junio mediante una actualización de seguridad de Windows. Sin embargo, Jurczyk advirtió en noviembre a Microsoft que el parche era insuficiente y el sistema continuaba siendo, en parte, vulnerable a un ataque malicioso.

Google tiene una pol√≠tica clara para los fallos de seguridad que descubren sus ingenieros: si la compa√Ī√≠a responsable del fallo no lanza el parche en un plazo de 90 d√≠as, la vulnerabilidad se hace p√ļblica autom√°ticamente.

Advertisement

Han pasado 90 d√≠as y Microsoft no ha conseguido solucionar el problema, as√≠ que el fallo de seguridad se ha publicado de forma autom√°tica. Microsoft deb√≠a lanzar un parche el martes pasado, pero la actualizaci√≥n de seguridad se retras√≥ hasta marzo ‚ÄĒde acuerdo con Microsoft‚ÄĒ por un ‚Äúproblema de √ļltima hora que podr√≠a afectar a algunos clientes‚ÄĚ.

En la anterior ocasi√≥n, Google esper√≥ apenas 10 d√≠as desde que notific√≥ a Microsoft el hallazgo hasta hacer p√ļblico el fallo de seguridad. Los de Redmond no se lo tomaron nada bien: ‚ÄúNosotros creemos en la transparencia y en hacer p√ļblicas las vulnerabilidades de nuestros sistemas, pero lo que hizo Google fue poner en riesgo a los usuarios de Windows‚ÄĚ, coment√≥ un portavoz de la compa√Ī√≠a en aquella ocasi√≥n

[Bleeping Computer]