El equipo Google Project Zero se dedica a buscar exploits en los productos de la empresa y los desarrollados por otras firmas. Google ha revelado varios errores en los últimos meses, especialmente en Windows 10 y Microsoft Edge. Ahora, se ha encontrado un fallo de gravedad mediana en sistemas Windows 10 S, con integridad de código de modo de usuario (UMCI) habilitada.
Windows 10 S tiene una vulnerabilidad, aunque no es especialmente grave
Windows 10 S es un sistema operativo altamente seguro con muchas restricciones, como la imposibilidad de ejecutar aplicaciones Win32. Sin embargo, el equipo Project Zero de Google ha descubierto un fallo, que permite la ejecución de código arbitrario en un sistema con UMCI habilitado, como Device Guard que está habilitado por defecto en Windows 10 S. Esta vulnerabilidad solo afecta a los sistemas con Device Guard habilitado, que es principalmente Windows 10 S, y no se puede explotar de forma remota, lo que reduce considerablemente la gravedad del problema.
Te recomendamos la lectura de nuestro post sobre Google Project Zero destapa un serio problema de seguridad en Windows 10
Google informó del problema a Microsoft el 19 de enero, pero el gigante de Redmond no pudo solucionarlo antes del lanzamiento del parche del mes de abril. Como resultado, Microsoft solicitó una extensión de 14 días, informando a Google que se implementaría una solución en mayo. Este plazo superaba la fecha límite de gracia, por lo que Google rechazó la solicitud de Microsoft y no otorgó los 14 días adicionales.
La semana pasada, Microsoft una vez más solicitó una extensión en la fecha límite, alegando que se resolvería en la actualización de Redstone 4 (RS4), pero Google la rechazó diciendo que no hay una fecha firme para la actualización, y que RS4 no se consideraría un parche ampliamente disponible.
[irp]Con el plazo estándar de 90 días que excede a día de hoy, Google ha revelado públicamente esta vulnerabilidad, que afecta principalmente a Windows 10 S. Será interesante ver si Microsoft se ve obligado a lanzar un hotfix antes de la próxima gran actualización.