Ya van dos fallos día-cero de seguridad que se conocen en el popular sistema operativo.
Los investigadores de seguridad de Project Zero, de Google, han confirmado la existencia de una vulnerabilidad día-cero de seguridad en los sistemas Windows, incluyendo la prueba de concepto del fallo de seguridad.
La revelación del fallo fue hecha debido a que Microsoft no la ha corregido, pasados los 90 días de que fuera notificado de la vulnerabilidad ahora convertida de día-cero por no haber parche oficial.
Apenas empezando febrero un investigador divulgó una vulnerabilidad día-cero en Windows 10, Windows 8.1, Windows Server 2016, y Windows Server 2012 R2. La vulnerabilidad puede permitir a un atacante remoto no autenticado hacer que el sistema deje de funcionar.
El martes de parches de este mes Microsoft no publicó ninguna actualización de seguridad debido a un problema que no fue resuelto a tiempo. Ya dijo que los publicará en el martes de parches de marzo.
La nueva vulnerabilidad de seguridad día-cero se encuentra en GDI (Graphics Device Interface) en modo de usuario, gdi32.dll.
GDI es una biblioteca que las aplicaciones usan para el manejo de gráficos y texto con formato en la pantalla de video e impresora local. El fallo se encuentra en el manejo de DIB (Device Independent Bitmaps) incrustado en registros EMF.
Un atacante podría aprovechar el fallo de seguridad para robar información de la memoria. La vulnerabilidad se reproduce localmente en Internet Explorer y de forma remota en Office Online, a través de un documento DOCX que contiene el archivo EMF especialmente diseñado.
La vulnerabilidad día-cero afecta a los sistemas Windows, desde Vista Service Pack 2 a Windows 10.