10 de octubre de 2017

GOOGLE. Acusa a Microsoft de vulnerabilizar Windows 7 y 8 al actualizae Windows 10

El equipo de Project Zero de Google vuelve a dejar en evidencia malas prácticas de seguridad en Microsoft. El mismo grupo de expertos que nos ha alertado antes sobre vulnerabilidades en Edge e Internet Explorer, o fallo tras fallo en Windows Defender, ahora pone en evidencia a Windows, específicamente el problema con la forma en la que Microsoft actualiza sus sistemas.
Ya que las actualizaciones de seguridad llegan a Windows 10 primero y luego es que se añaden a Windows 7 y 8, como los sistemas comparten el mismo código base, los hackers pueden comparar los cambios en el código y detectar una vulnerabilidad que aún no se ha arreglado en los Windows viejos.
Para el investigador Mateusz Jurczykm cuando Microsoft introduce mejoras de seguridad y arregla bugs solo en la más reciente plataforma de Windows, crea una falsa sensación de seguridad en los usuarios de las versiones más viejas y los deja vulnerables a fallos que pueden ser detectados simplemente viendo los pequeños cambios en el código correspondiente de cada versión diferente de Windows.
El investigador de Google Project Zero explica en un post cómo encontró fácilmente un exploit zero day que solo afecta a Windows 7 y Windows 8 aprovechándose de que el parche ya existía en Windows 10.
Explica que su objetivo es ilustrar que cuando hay diferencias relevantes a la seguridad entre versiones de un mismo producto de software que aún tienen soporte, estás pueden ser usadas por entes maliciosos para encontrar vulnerabilidades o simplemente un bug en las versiones más anticuadas de ese software.
Fuente: genbeta.com