Ya hemos comentado como de forma periódica desde Redmond lanzan distintas actualizaciones encaminadas a mejorar el funcionamiento de su sistema operativo. Nuevas versiones que de paso mejoran la seguridad y estabilidad del sistema... al menos eso suele pasar.
Pero en ocasiones se cuelan fallos, unas veces más o menos graves y esto es lo que le ha ocurrido a Microsoft con Windows 10. El motivo es que se ha descubierto una grave vulnerabilidad que además, por el momento, no tiene solución o remedio.
Lo más significativo es que ha sido Google quien ha dado la alarma sobre el error que afecta a Windows 10. Al parecer se trata de un fallo importante que podría poner en peligro a cualquier ordenador de forma que cualquier atacante podría entrar y explotarlo.
Al parecer la vulnerabilidad afecta al núcleo de Windows y al parecer desde Microsoft ya conocían este importante fallo desde casi una semana ¿Y porqué no han tomado medidas? Esa es la pregunta del millón. Y la respuesta muy fácil... no parece tener solución por ahora.
Ya es grave que el error de seguridad afecte al núcleo del sistema pero tanto o más grave es que no encuentren como solucionarlo. De hecho al parecer Google lo notificó Microsoft y tras un tiempo de espera y en ausencia de una corrección ha decidido hacerlo público.
Hasta el momento no se conoce solución alguna para corregir una brecha de seguridad por la cual un atacante podría conseguir privilegios en su entrada al sistema. La única medida de Microsoft ha sido elaborar un comunicado en el que alerta sobre esta fallo y recomienda a los usuarios que tanto Windows como Edge estén actualizados con los últimos parches.
Recordemos que el fallo parte inicialmente de Adobe Flash, un fallo para el que desde Adobe ya lanzaron un parche. Además parece ser que tras este problema se encuentra un grupo de hackers ruso llamado Strontium, que usó esta vulnerabilidad para propagar un ataque de _phising_.
Por ahora no se sabe cuando Microsoft lanzará una actualización que solucione el problema pero mientras tanto conviene mantener unas precauciones mínimas y sobre todo tener el sistema actualizado.
Vía | VentureBeat
Ver 12 comentarios
12 comentarios
aadelaiglesia
Es indiferente que el parche de flash ya esté aplicado en todos los Windows, cosa que hace que la vulnerabilidad sea inexplotable, y es indiferente que vayan a lanzar la actualización del Kernel el día 4 (dentro de dos días a la redacción de este artículo).
Es indiferente porque esto es Xataka, y prima la desinformación y el clickbait a cualquier otra cosa. Porque a ver, esto, una noticia no es, es una diarrea mental del autor, que se ve que tenía algo mejor que hacer que escribir su artículo, más que nada porque esta lleno de "Al parecer" y de suposiciones, la gran mayoría, erróneas.
Luego el autor ya remata el artículo con la supina estupidez de "tanto o más grave es que no encuentren como solucionarlo", que no se merece ni un comentario.
"Google lo notificó Microsoft y tras un tiempo de espera y en ausencia de una corrección". Un tiempo de espera de 10 días. Microsoft tiene la buena costumbre de probar los parches en miles de equipos, para asegurarse que no rompen nada. No se puede hacer en 10 días. Algunos dirán "Es que con el software libre en 12 horas tienes el parche", y tienen razón, como con el núcleo 4.7 de Linux que rompía los drivers de NVIDIA o el 4.5 que rompía la compatibilidad con wmware, por sacarlo en un momento y sin testearlo en entornos reales.
En fin, esto es Xataka, aquí manda el dinero.
harcalion
Por lo que he leído, el vector de ataque de esta vulnerabilidad era Flash y desde el 27 de octubre eso está parcheado, por lo que la vulnerabilidad de Windows sigue existiendo pero no puede ser explotada.
Por otro lado, no tiene nada de significativo que sea Google quien la haya encontrado. Tiene un departamento entero dedicado a buscar bugs y vulnerabilidades en el código de otros fabricantes, ¿tendrá también uno para los de Android? ¿O deja que Samsung o LG arreglen esos?
ttkoete
Buena noticia José Antonio! A todo el mundo le llama la atención que sea publicado tan sólo una semana después pero a ti lo único que te sorprende es como no lo han parcheado en 7 días. Curiosamente no te has dado cuenta que tu fuente tenia un update de hace 2 días diciendo que la vulnerabilidad no es tal al no poder ser explotada, un despiste supongo.
Cual es la finalidad de este blog? Meter mierda y escupir a la cara a todos los usuarios de microsoft? Porque todos los días la misma canción, como un imán que repite sus fatuas para que quede una y ooootra vez reflejado en los comentarios de usuarios hasta los cojones. Cerrar el blog si ya sabemos que sois incapaces de ser imparciales, así al menos lo disimuláis con vuestros premios Xataka.
PD. Y Si vas a escribir 'profesionalmente' al menos aprende a facilitar la lectura dividiendo ideas, porque en 10 lineas has usado 7 párrafos, hasta has separado un pero.
TOVI
Habló google, rey de las vulnerabilidades en Android y rey en lentitud en corregirlas...
a13x
Adobe lanzó una actualización el 26 para solucionar el fallo con Flash. Si a eso le sumas que para explotar la vulnerabilidad son necesarios tanto el problema en Flash (ya solucionado) como el bug en el kernel de Windows 10 (el cual aún persiste) nos encontramos con que la vulnerabilidad ha sido subsanada, al haber corregido Adobe el problema con Flash. Lo próximo será que Microsoft solucione el bug en el kernel de Windows, pero no hay problema alguno mientras que la gente tenga actualizados sus equipos.
Que por cierto, otra cosa que no comentáis es que afecta sólo a la gente de Anniversary Update y que la actualización de Flash llegó con la actualización acumulativa del 27.
Vamos, que lo dicho en este artículo no hay por donde cogerlo. Es simplemente una bonita historia escrita por alguien que quiere hacer daño al sistema operativo de Microsoft. Una pena leer esto en Xataka Windows.
mulder07
Es muy de José Antonio cómo está redactada la noticia, le importa poco informar de lo que pasa, se preocupa más de darle un toque de caos, negatividad, pesimismo,... para echar mierda sobre microsoft. Se las arregla también para mencionar muy de pasada la actuación de google (a ver si se nota menos): encuentro un fallo en tu software, te notifico y en una semana lo hago público. Bravo! seguro que cuando encuentran un fallo crítico en su software, si después de una semana no lo han solucionado, lo gritan a los cuatro vientos para que todo el mundo conozca la vulnerabilidad!
¿Por qué obligáis en weblogs a que un hater de microsoft escriba en xatakawindows? Dejadle que escriba en otro blog, que aquí no le vamos a echar de menos!
arquimaes
¡Lo extraño sería que supieran la solución antes de conocer la vulnerabilidad!
juanlubetico
que vergüenza de artículo.. por favor infórmense bien
https://blogs.technet.microsoft.com/mmpc/2016/11/01/our-commitment-to-our-customers-security/
adrianmadu
Me meo con lo que leo que si google deberia haber ocultado la vulnerabilidad decis jajajaj: No se si habeis estado en alguna conferencia de programadores o seguridad informática pero alli los programadores muestran muchas de las vulnerabilidades que han descubierto y explican como se explotan en conferencias publicas en muchas ocasiones retransmitidas por internet.
Quiere decir eso que esten ayudando a los delincuentes? NO La responsabilidad es del desarrollador que debe mantener seguro su software. Evidentemente se avisa al desarrollador y se le da un plazo para resolverla (que por lo general no es muy largo) y pasado ese tiempo, se revela independientemente de si se ha solucionado o no porque también representa un prestigio para el programador y mucho tiempo de trabajo haber encontrado la vulnerabilidad. Las grandes empresas tienen divisiones enteras dedicadas a esta labor (si, microsoft tambien) que buscan vulnerabilidades en los productos de la competencia y en los suyos propios. De esta manera los usuarios obtenemos productos mas seguros aunque en algunas ocasiones como esta el "prestigio" de una empresa pueda resultar dañado.