Google le dio a Microsoft 90 días para corregir la falla de seguridad; Microsoft falló
Los investigadores de seguridad del Project Zero de Google informaron públicamente sobre una gran falla de seguridad en Microsoft Edge que permite cargar un código malicioso en la memoria. Sin embargo, se notificó a Microsoft sobre el error de seguridad y se le dieron 90 días para solucionarlo hasta que se divulgue públicamente. Aparentemente, Microsoft no cumplió con el plazo.
Los investigadores de Google informaron sobre una falla de seguridad en el Arbitrary Code Guard (ACG) del navegador Microsoft Edge[1] función en noviembre de 2017. Microsoft solicitó la extensión del plazo y Google dio 14 días adicionales para corregir el error y proporcionarlo en el martes de parches de febrero.
Sin embargo, los parches de este mes de Microsoft no tenían una solución para esta vulnerabilidad. La compañía dice que "la solución es más compleja de lo que se anticipó inicialmente". Se espera que la solución se lance el próximo martes de parches el 13 de marzo.[2] Sin embargo, no está confirmado.
La vulnerabilidad de Microsoft Edge se informa en el blog de Chromium
Los usuarios de Microsoft Edge ya no deberían sentirse sanos y salvos. Google dio a conocer la información sobre el error y cómo funciona. Por lo tanto, cualquiera que esté buscando una falla para explotar con el fin de lanzar un ataque cibernético, ahora puede aprovecharlo.
El investigador de Google Ivan Fratric encontró una vulnerabilidad en Arbitrary Code Guard (ACG) de Microsoft, que fue calificada como "medio." La falla afecta al compilador Just In Time (JIT) para JavaScript y permite a los atacantes cargar un código. El problema se describe en el blog de Chromium:[3]
Si un proceso de contenido se ve comprometido y el proceso de contenido puede predecir en qué dirección el proceso JIT llamará a VirtualAllocEx () a continuación (nota: es bastante predecible), el proceso de contenido puede:
1. Desmapear la memoria compartida mapeada arriba usando UnmapViewOfFile ()
2. Asigne una región de memoria grabable en la misma dirección que el servidor JIT va a escribir y escriba allí una carga útil que pronto será ejecutable.
3. Cuando el proceso JIT llama a VirtualAllocEx (), aunque la memoria ya está asignada, la llamada se realizará correctamente y la protección de la memoria se establecerá en PAGE_EXECUTE_READ.
No es la primera vez que Google revela públicamente fallas en los productos de Microsoft.
En 2016, los investigadores de Google descubrieron una falla en Windows 10. La situación fue similar. Microsoft fue informado sobre la vulnerabilidad que permitía a los atacantes instalar una puerta trasera en una computadora con Windows.
Sin embargo, Google no se quedó callado por mucho tiempo. Solo tardaron 10 días en revelar la vulnerabilidad "crítica". En ese entonces, Google había implementado una solución para los usuarios de Google Chrome. Sin embargo, el sistema operativo Windows sigue siendo vulnerable.
Después de que surgiera la noticia sobre la vulnerabilidad crítica hace dos años, el portavoz de Microsoft dijo que "la divulgación por parte de Google pone a los clientes en riesgo potencial".[4]
El año pasado, Google informó sobre "locamente malos"[5] vulnerabilidad en Windows 10 que permitía la ejecución remota de código. Sin embargo, Microsoft logró solucionar el problema con las últimas actualizaciones de Patch Tuesday. Sin embargo, parece que es posible resolver los problemas de seguridad a tiempo.