El ingeniero de seguridad de la información en Google Tavis Ormandy, ha hecho público un fallo que afecta a los dos últimos sistemas operativos de Microsoft, el cual pone en peligro a los usuarios, ya que permite a los ciberdelincuentes obtener privilegios de administrador en un equipo que no esté parcheado.

Microsoft, desde un principio, anima a los investigadores de seguridad a encontrar vulnerabilidades en sus productos y a mantener en privado dicha información, para poder trabajar codo con codo en el desarrollo de parches. Por su parte Ormandy ha decidido hacer púbica esta información porque según declaraciones, no tiene “tiempo para trabajar en código tonto de Microsoft”.

Ormandy ya había detectado otras vulnerabilidades en los productos de Microsoft, así que no es de extrañar que ingenieros de Google trabajen en ocasiones con Microsoft para tratar de corregir fallos en Office y en Windows. El problema es que según Ormandy, Microsoft “trata a los investigadores de vulnerabilidades con gran hostilidad” y que “a menudo es muy difícil trabajar con Microsoft”.

Para muchas personas, el hecho de hacer públicas dichas vulnerabilidades, puede ser considerado como una respuesta a las campañas anti-Google que ha lanzado Microsoft, pero lo que está claro, es que la compañía necesita que ingenieros de seguridad se dediquen a desarrollar parches para proteger tanto a los usuarios como a sus datos.

Este fallo en cuestión, es considerado como un fallo “menos crítico” y se confirma que existe tanto en Windows 7 y en Windows 8. “La vulnerabilidad es causada por un error en ‘win32k.sys’ al procesar ciertos objetos y puede ser aprovechada para causar un bloqueo o ejecutar código arbitrario con privilegios de kernel. La vulnerabilidad ha sido confirmada en un PC con Windows 7 x86 Professional totalmente parcheado (win32k.sys versión 6.1.7601.18126) y reportada en Windows 8. Otras versiones también podrían verse afectadas”.