La información fue dada a conocer el 21 de mayo en un boletín publicado por la Iniciativa de Día Cero (ZDI) de HP, programa que recompensa a expertos de seguridad informática por encontrar vulnerabilidades en software. Según el boletín, la vulnerabilidad fue descubierta en octubre de 2013 por el investigador belga Peter Van Eeckhoutte, quien inmediatamente comunicó la información a Microsoft.
El programa ZDI se abstiene de dar a conocer públicamente la información sobre vulnerabilidades, por un máximo de seis meses, con el fin de dar a los creadores del software a la posibilidad de parchearlo. El 8 de mayo, un mes después de concluido el plazo de seis meses, ZDI recordó el tema a Microsoft, señalando que la información sería dada a conocer a la opinión pública en los días siguientes.
Microsoft no reaccionó, por lo que el 21 de mayo ZDI dio a conocer los detalles de la vulnerabilidad, precisando lo siguiente: “Esta vulnerabilidad es dada a conocer a la opinión pública sin que exista un parche que la solucione, en conformidad con el plazo de 180 días establecido por ZDI”.
La organización publica la siguiente relación cronológica:
11/10/2013 – Notificación enviada a Microsoft
10/02/2014 – Microsoft confirma la vulnerabilidad
09/04/2014 – Se cumple el plazo original de 180 días
08/05/2014 – ZDI notifica a Microsoft su intención de publicar la información
21/05/2014 – ZDI publica la información
Según ZDI, para explotar la vulnerabilidad es necesario que el atacante induzca a la potencial víctima a visitar un sitio web maligno, programado para aprovechar la vulnerabilidad del navegador. Para ello, el atacante puede, por ejemplo, enviar un correo electrónico o comunicación de mensajería instantánea a la potencial víctima, que al hacer clic en el enlace maligno podría dar inicio al ataque. Si el ataque es exitoso, el hacker tendría los mismos derechos de usuario en el PC, que la propia víctima.
—
Ilustración: Ken Wolter © Shutterstock.com
