Google ha publicado los detalles y el código para la prueba de concepto de una vulnerabilidad de Windows después de que Microsoft no parchara el fallo dentro de 90 días.

Mateusz Jurczyk, miembro del equipo de Google Project Zero, alertó a Microsoft de una vulnerabilidad en la graphics device interface (GDI) de la biblioteca de vínculos dinámicos de Windows el 16 de noviembre del año pasado.

Haciendo uso de un archivo especialmente formado en formato enhanced metafile (EMF), que es utilizado en la cola de trabajos de impresión, Jurczyk encontró que era posible explotar un error fuera de los límites de lectura aprovechándose de cómo se procesan los device independent bitmaps (DIB) y el almacenamiento de los datos fugados en la memoria de una computadora.

"... es posible revelar bytes no inicializados o fuera de límites a través de los colores en los píxeles, en Internet Explorer y otros clientes GDI que permiten la extracción de datos de las imágenes que se muestran al atacante," escribió Jurczyk.

Esto podría incluir datos del usuario de la página o información sobre el espacio de direcciones virtuales, dijo. Es posible aprovecharse de la vulnerabilidad a través de aplicaciones de Internet Explorer y Microsoft Office.