Por segunda vez en tres meses, los ingenieros de Google han avisado de un nuevo bug en Windows sin que a la fecha Microsoft haya corregido el error antes de que se hiciese el anuncio público.
El problema afecta a la GDI (Graphic Device Interface) de Windows (gdi32.dll), una biblioteca que permite que las aplicaciones usen gráficas y texto formateado, ya sea en pantalla o en la impresora local.
Pero si nos remontamos a la historia de los bugs hallados antes, el equipo del proyecto Cero de Google reportó una colección de bugs que halló en marzo del 2016, los cuales se arreglaron en junio de ese mismo año.
Mateusz Jurczyk, el ingeniero de Google que encontró los primeros bugs, dijo que el parche aplicado por la empresa fue insuficiente y algunos de los problemas reportados continúan, haciendo que el sistema siga siendo vulnerable.
En pruebas posteriores, los investigadores volvieron a mandar el reporte de problemas hallados en noviembre pasado, los cuales no pudieron ser parchados en el lapso de 90 días que da Google a las empresas antes de hacer públicos sus reportes.
Y de hecho, no es ésta la primera vez que pasa. Por segunda ocasión Google ha decidido reportar públicamente los errores en Windows, con la intención de que los usuarios puedan protegerse ellos mismos mientras Microsoft resuelve el asunto.
Terry Myerson, vicepresidente ejecutivo de Windows y del grupo de dispositivos, sin embargo, lo lo ve desde el mismo punto de vista, describiendo la acción de Google como “decepcionante”, porque pone a los clientes en un mayor riesgo de que alguien quiera explotar el o los bugs encontrados.
Microsoft ha retrasado las actualizaciones de seguridad hasta el mes siguiente debido a “problemas de último minuto que podrían impactar a algunos clientes”. Por su parte, Google dice que su decisión de hacer públicos sus reportes es una respuesta directa a Microsoft por su intención de no liberar ninguna actualización de seguridad ese mes.
De acuerdo con Jurczyk, el bug afecta a los usuarios de Internet Explorer y a los usuarios de Office Online. El bug permite a un atacante leer el contenido de la memoria del usuario usando archivos EMF maliciosos. La mala noticia es que estos archivos EMF pueden esconderse en otros documentos.
“He confirmado que la vulnerabilidad se reproduce localmente en Internet explorar y remotamente en Office Online vía un documento “.docx” que contiene un archivo EMF diseñado especialmente para ello”, explica el ingeniero de Google.
La seriedad de este tipo de ataques depende de dónde se ejecuta el archivo EMF en la memoria y qué tipo de datos pueden estar presentes en los bytes circundantes. El experto en seguridad de Google no dio sin embargo ningún consejo para mitigar la dificultad contra ataques que utilicen este bug de Windows.
Así pues, todo parece indicar que la vulnerabilidad estará presente hasta el 15 de marzo de este ano, el día en el que Microsoft planea liberar sus actualizaciones de seguridad.
Referencias: Bleeping computer