Google revela un bug peligroso antes de que Microsoft, su responsable, pueda arreglarlo

Google revela un bug peligroso antes de que Microsoft, su responsable, pueda arreglarlo

Bienvenido al round 54 del duelo Google vs Microsoft.

Google ha revelado detalles de una vulnerabilidad de seguridad encontrada en Microsoft Edge… antes de que Microsoft pudiera desarrollar un parche para solucionarlo. Recuerdo que Edge es competencia directa de Google Chrome.

En concreto, ha sido Project Zero, el equipo de investigadores de seguridad de Google, quien ha informado del problema. La política de Project Zero es avisar a la empresa afectada por un bug con 90 días de cortesía, tres meses de tiempo para que la empresa pueda solventar el lío antes de que el equipo de Google haga publico el descubrimiento. Este caso no es una excepción: Project Zero alertó a Microsoft sobre el bug en noviembre de 2017.

Además, en esta ocasión Project Zero ha dado dos semanas extras a Microsoft por petición de la misma para acabar de arreglar el desaguisado.  Misión fallida: el bug sigue campando por sus anchas, como una cucaracha que se ha apoderado de la cocina y no se va ni con una bomba nuclear. Es una señal de que el bug no solo es serio sino que además es difícil de erradicar.

La buena noticia es que Microsoft planea solucionar este error en un parche que saldrá en marzo. La mala noticia es que hasta entonces los hackers pueden beneficiarse de esta información.

Con la decisión de comunicar el problema, Google ha convertido Edge en un explorador menos seguro, aumentando así las posibilidades de que los usuarios instalen Chrome. No puedo ser menos sutil.

El bug en sí es una ironía con patas. En abril de 2017, Microsoft agregó a Edge una característica llamada Arbitrary Code Guard (ACG). Su función era robustecer el navegador para evitar que los atacantes ejecutaran un código malicioso en los ordenadores que usaran Edge. Este bug es, a grandes rasgos, una forma de eludir el ACG, una forma que no existiría sin ACG.

El bug en cuestión puede convertirse en una puerta para que un atacante ejecute malware en el equipo de una víctima que utilice Edge asiduamente. Si acabas de escuchar un “¡boom!” era tu medidor de ironías explotando en el armario donde lo guardaste. No obstante, como es un ataque difícil de llevar a cabo Google  lo considera un fallo de gravedad media.

Si te mola arriesgarte, aquí tienes Microsoft Edge:

Microsoft Edge
Descargar
6

Y aquí tienes Google Chrome, ya que estamos:

Google Chrome
Descargar
10

Ha habido ocasiones en donde Google ha jorobado más descaradamente a Microsoft. En una ocasión, Google reveló una vulnerabilidad grave de un producto de Microsoft tan solo diez días después de descubrirla. En otras ocasiones Google también ha revelado fallos de Día Cero, es decir, bugs que se revelan el mismo día de su descubrimiento.

En otras ocasiones, Google ha ido más de tranquis y de guays. Es el caso de las famosas vulnerabilidades Meltdown y Spectre.

Google dio a los fabricantes seis meses para resolver sus problemas antes de revelarlos al público mundano.

¿Crees que Project Zero actúa bien con su política de comunicar los errores que encuentra antes de que las compañías responsables puedan arreglarlo? ¡Déjanos tu opinión! Y nos vemos en el round 55.

Fuentes: Omicrono, Tu Experto, FayerWayer

  • Enlace Copiado!
Cargando comentarios