Google ha publicado un exploit zero-day en Windows 10 S, la versión de Windows que Microsoft ha intentado vender como "ultra segura" en gran parte porque no acepta instalaciones de apps fuera de la tienda oficial de la empresa.

Aunque el fallo es de severidad media, fue encontrado en sistemas con Windows 10 que usan Device Guard, una función que justamente restringe el sistema operativo para que ejecute solamente código que esté firmado por los firmantes de confianza, y que se supone hace todo más seguro.

El fallo que fue encontrado por lo que debe ser ya el grupo de investigadores menos favoritos de Microsoft, Google Project Zero, permite a un atacante saltarse la política de bloqueo de Windows utilizando un bug en .NET que permite la ejecución arbitraria de código.

Como ya ha pasado antes, con Microsoft Edge y con Windows Defender, Google encontró la vulnerabilidad y le informó a Microsoft dando los 90 días que ya tienen como estándar para que la empresa solucionara el fallo. Microsoft se quedó sin tiempo (nuevamente) y Google ha hecho público el bug.

Google se negó dos veces a extender el tiempo de Microsoft para que solucionaran el fallo antes de hacerlo público

A Microsoft se le informó de la vulnerabilidad el 19 de enero y aunque lograron reproducirla el 10 de febrero, pidieron a Google una extensión de 14 días que Google negó. Microsoft pidió nuevamente un periodo de extensión prometiendo arreglar el fallo con Redstone 4, …