Se pone a la venta una vulnerabilidad Día Cero de Windows 8

La semana pasada Vupen, una compañía francesa especializada en encontrar vulnerabilidades en programas de Microsoft, Adobe, Apple y Oracle,  publicaba un tweet en el que ponía a la venta la primera vulnerabilidad Día Cero de Windows 8; “For Sale: Our first 0day for Win8+IE10 with HiASLR/AntiROP/DEP & Prot Mode sandbox bypass (Flash not needed)”.

Vupen es conocida por vender vulnerabilidades a gobiernos y compañías y no compartir los detalles de las mismas con los vendedores de software afectados. La compañía se defiende de los que les acusan de mala praxis asegurando que su información ayuda a las organizaciones a defenderse de los hackers.

Vupen sólo ha tardado unos días en descubrir la primera vulnerabilida Día Cero en Windows 8, lanzado hace un par de semanas, y en su navegador, Internet Explorer 10. Se dice que una vulnerabilidad es de Día Cero cuando no se ha hecho pública  ni hay un parches para ella.

Aunque ya se han descubierto algunas vulnerabilidades en software que funciona en Windows 8, parece que la de Vupen es la primera que afecta al sistema operativo.

Desde Microsoft aseguran que la compañía ha animado a los investigadores a participar en su programa Coordinated Vulnerability Disclosure, donde se pide tiempo para solucionar el problema antes de publicar los detalles del mismo, detalles que pueden aprovecha los ciberdelicuentes para explotar los fallos y lanzar sus ataques.

El mensaje de Twitter de Vupen, escrito el pasado miércoles, implica que la vulnerabilidad podría permitir a un hacker superar las tecnologías de seguridad de Windows 8. El mensaje también indica que el problema no depende de un fallo en Adobe Flash.

Si bien es cierto que la oportunidad de mercado para desarrollar un exploit con éxito es limitado debido al reciente lanzamiento de Windows 8, no se ha confirmado que pueda funcionar también en anteriores versiones del sistema operativo o del navegador de Microsoft, aseguran en Infoworld.