Los ingenieros de Google suelen encontrar un buen número de fallos de seguridad en todo tipos de productos, ya sean sistemas operativos o aplicaciones de terceros. Por eso en julio creó una división especial, Project Zero, dedicada exclusivamente a encontrarlos e informar a las empresas que desarrollan el software específico.
Una vez notificados, liberan la información del fallo de seguridad 90 días después, y en este caso ha habido un fallo para el que Microsoft no ha sido capaz de corregirlo en este espacio de tiempo. Por tanto, ahora mismo se puede encontrar una documentación exhaustiva sobre cómo explotarlo gracias a los ingenieros de Google.
El fallo es del tipo de escalada de privilegios, por el que un usuario normal puede optener privilegios de administrador en un equipo con Windows 8.1. Para explotarlo hay que tener acceso físico al PC, por lo que no es tan grave como uno se podría esperar. El debate sobre esta situación está en si Project Zero no va a realizar más mal que bien al publicar la documentación completa de estos fallos sin flexibilizar el periodo de 90 días.
En realidad el establecer este periodo es importante para obligar a los vendedores de software a corregir los fallos lo antes posible antes de que haya alguien más que los detecte. Pero por otro, no flexibilizar la publicación de esta información, además de proporcionar los detalles exactos junto cómo explotarlos, puede llevar en un futuro a situaciones peligrosas para el usuario con menos conocimientos técnicos. Como siempre el punto débil de cualquier sistema de seguridad es el usuario final, y en realidad pocos usuarios tienen un interés en la informática como para poder hacer frente a este tipo de amenazas de seguridad.
Vía: EnGadget.
