El grupo Project Zero
de Google ha hecho pública una vulnerabilidad no resuelta por Microsoft tras
vencer el período de gracia de 90 días que dicho grupo tiene establecido para
una publicación responsable. Un usuario malintencionado podría conseguir
elevación de privilegios en los sistemas afectado, catalogada de Importancia: 4
- Alta
Recursos afectados:
Microsoft Windows 10
versión 1709
Recomendación
La solución que
proporcionó Microsoft hace meses para esta vulnerabilidad no soluciona la misma
según el grupo Project-Zero de Google por lo que previsiblemente, Microsoft
publicará en el futuro una nueva versión del parche que corrija definitivamente
esta vulnerabilidad.
Detalle de vulnerabilidades
Un usuario sin
privilegios y autenticado localmente, podría realizar acciones que requieren
elevación de privilegios. Notar además que se ha publicado una prueba de
concepto que explota esta vulnerabilidad. Se ha reservado el identificador
CVE-2017-11783 para esta vulnerabilidad.
Más información
-
Windows:
StorSvc SvcMoveFileInheritSecurity Arbitrary File Security Descriptor Overwrite
EoP
-
CVE-2017-11783
| Windows Elevation of Privilege Vulnerability
Fuente: INCIBE