Google ignora pedidos da Microsoft e publica 3ª falha do Windows em um mês

16/01/2015

 

O Google ignorou os pedidos da Microsoft por prazos mais flexíveis para a divulgação de vulnerabilidades e liberou detalhes de mais uma falha sem solução do Windows, que deve deixar os usuários expostos pelos próximos 25 dias.

 

A nova vulnerabilidade, que foi confirmada no Windows 7 e 8.1, pode constituir uma alternativa ao recurso de segurança pela maneira como as aplicações podem criptografar suas memórias para que os dados possam ser trocados entre os processos sendo rodados na sessão com o mesmo logon.

 

“O problema é que a implementação em CNG.sys não verifica o nível de personificação do token ao capturar a sessão de logon ID (usando SeQueryAuthenticationIdToken) para que um usuário normal possa personificar em nível de identificação e criptografar ou descriptografar os dados para essa sessão de logon”, afirmaram os pesquisadores do Google Project Zero em uma descrição da falha. 

 

Segundo o Project Zero, a Microsoft foi notificada sobre a vulnerabilidade em 17 de outubro de 2014 e inicialmente planejava liberar uma solução na sua Patch Tuesday de janeiro, que foi liberada há alguns dias. No entanto, o patch precisou ser adiado por problemas de compatibilidade.

 

Os pesquisadores do Google não ficaram comovidos com isso e mantiveram seu prazo de revelação pública de 90 dias, publicando os detalhes da falha e um exploit de prova de conceito nesta quinta-feira, 15/1.

 

Agora é esperado que a solução esteja entre os updates de segurança da Microsoft programados o próximo dia 10 de fevereiro, apesar de não existirem garantias que o patch não possa ser adiado mais uma vez.

 

É claro que a Microsoft tem a opção de liberar um patch fora dessas Patch Tuesdays, mas a empresa raramente faz isso e, quando isso acontece, geralmente é para chamadas falhas críticas que estejam sendo exploradas ativamente por criminosos. 

 

Essa é a terceira vulnerabilidade que os pesquisadores do Project Zero liberaram publicamente no último mês porque a Microsoft não conseguiu liberar soluções antes do prazo de 90 dias imposto pelo Google.

 

Fonte: IDG Now!

Please reload

Destaques

Seu estilo de programar é quase tão único quanto uma impressão digital

27/02/2015

1/7
Please reload

Posts Recentes
Please reload

Arquivo
Please reload

Tags
Please reload

Siga-nos
  • Twitter App Ícone
  • Ícone de App do Google +
  • Ícone de App de Facebook
Feed RSS
  • Twitter App Ícone
  • Ícone de App do Google +
  • Ícone de App de Facebook
Feed RSS

Receba nossa Newsletter!

Av. Contorno, nº 2905 - Conj 405 - Santa Efigênia, Belo Horizonte - MG, 30110-915 - (31) 3236-1496 | © 2014-2015 por LogOn Informática® - Todos os direitos reservados.