Hacker publica en Twitter una vulnerabilidad 0-day de Windows 10 sin avisar a Microsoft
Aparentemente una hacker descubre una vulnerabilidad en Windows 10 y la libera en redes sociales sin informar a Microsoft ni respetar ningĂșn protocolo.
Hace algunos meses cuando se descubrieron una serie de vulnerabilidades exclusivas de los procesadores AMD Ryzen y se filtraron a los 15 dĂas de informar a la compañĂa, ya se lio bastante parda porque existe una norma no escrita que establece tres meses para informar a la compañĂa de una vulnerabilidad para que dĂ© tiempo a desarrollar un parche y evitar que los malos la exploten. La usuaria de Twitter SandboxEscaper la ha liado al publicar una vulnerabilidad 0-day de Windows 10 en Twitter sin informar antes a Microsoft.
Descubre una vulnerabilidad 0-day en Windows 10 y la publica en Twitter sin informar a Microsoft.
La historia es bastante perturbadora ya que el tuit de esta usuaria estĂĄ acompañado de la frase ‘ya no me importa una mierda la vida’ y por eso ha decidido publicarlo en redes sociales en vez de informar antes a Microsoft. Dentro del tuit podemos encontrar un enlace a GitHub donde se muestra la prueba de esta vulnerabilidad la cual es un fallo de seguridad en el programador de tareas de Windows que permite escalar privilegios y que no tiene soluciĂłn.
Here is the alpc bug as 0day: https://t.co/m1T3wDSvPX I don’t fucking care about life anymore. Neither do I ever again want to submit to MSFT anyway. Fuck all of this shit.
— SandboxEscaper (@SandboxEscaper) 27 de agosto de 2018
Will Dormann un reputado analista de vulnerabilidad que trabaja en el CERT/CC ha verificado dicha vulnerabilidad y ha confirmado que estĂĄ operativo en la versiĂłn a actualizada de Windows 10 de 64bits.
Dicha vulnerabilidad 0-day tiene una puntuaciĂłn CVSS de entre 6.4 y 6.8, que indica que es una vulnerabilidad de severidad moderada. Microsoft reconoce la existencia de este problema y han informado que estĂĄn trabajando de manera ardua para corregir el problema en los sistemas operativos afectados y que es posible que tengan soluciĂłn para el martes, que es cuando lanzan los parches de seguridad.
El medio ZDNet tambiĂ©n destaca que un usuario de Reddit con el nombre de SandboxEscaper habrĂa estado viendo la posibilidad de vender esta vulnerabilidad mediante el mayor foro de la red.
No hablamos de un hacker de tipo White Hat y es que ha intentado hacer negocio por vender este fallo de seguridad. Las compañĂas suelen pagar bien a quienes encuentran los agujeros de seguridad y son capaces de documentarlo correctamente, no vale con decir que hay un fallo, hay que aportar pruebas del mismo.
I’ve confirmed that this works well in a fully-patched 64-bit Windows 10 system.
LPE right to SYSTEM! https://t.co/My1IevbWbz— Will Dormann (@wdormann) 27 de agosto de 2018
La entrada Hacker publica en Twitter una vulnerabilidad 0-day de Windows 10 sin avisar a Microsoft aparece primero en HardwarEsfera.
via Internet – HardwarEsfera
Deja tu comentario