La semana pasada Vupen, una compañía francesa
especializada en encontrar vulnerabilidades en programas de Microsoft,
Adobe, Apple y Oracle, publicaba un tweet en el que ponía a la venta la
primera vulnerabilidad Día Cero de Windows 8; “For Sale: Our first 0day
for Win8+IE10 with HiASLR/AntiROP/DEP & Prot Mode sandbox bypass
(Flash not needed)”.
Vupen es conocida por vender vulnerabilidades a gobiernos y compañías
y no compartir los detalles de las mismas con los vendedores de
software afectados. La compañía se defiende de los que les acusan de
mala praxis asegurando que su información ayuda a las organizaciones a
defenderse de los hackers.
Vupen sólo ha tardado unos días en descubrir la primera vulnerabilida Día Cero en Windows 8,
lanzado hace un par de semanas, y en su navegador, Internet Explorer
10. Se dice que una vulnerabilidad es de Día Cero cuando no se ha hecho
pública ni hay un parches para ella.
Aunque ya se han descubierto algunas vulnerabilidades en software que
funciona en Windows 8, parece que la de Vupen es la primera que afecta
al sistema operativo.
Desde Microsoft aseguran que la compañía ha animado a los investigadores a participar en su programa Coordinated Vulnerability Disclosure,
donde se pide tiempo para solucionar el problema antes de publicar los
detalles del mismo, detalles que pueden aprovecha los ciberdelicuentes
para explotar los fallos y lanzar sus ataques.
El mensaje de Twitter de Vupen, escrito el pasado miércoles, implica
que la vulnerabilidad podría permitir a un hacker superar las
tecnologías de seguridad de Windows 8. El mensaje también indica que el
problema no depende de un fallo en Adobe Flash.
Si bien es cierto que la oportunidad de mercado para desarrollar un exploit con éxito es limitado debido al reciente lanzamiento de Windows 8,
no se ha confirmado que pueda funcionar también en anteriores versiones
del sistema operativo o del navegador de Microsoft, aseguran en Infoworld.
No hay comentarios:
Publicar un comentario