Tanto los desarrolladores de software como los usuarios de computadoras están seriamente preocupados por un número cada vez mayor de ciberataques. Los usuarios de PC domésticos, las pequeñas empresas e incluso las grandes empresas perdieron millones de dólares después de que sus PC fueran secuestradas por virus ransomware, como Cryptolocker, FBI, Ukash, Locky y muchos otros. Si bien los ataques de ransomware son los más graves, existen muchos otros métodos que los piratas informáticos utilizan para obtener ganancias chantajeando a las personas. Los gigantes tecnológicos, incluido Microsoft, siempre han trabajado duro para garantizar la protección de los usuarios, pero aparentemente, Hay cientos de programadores profesionales entre los piratas informáticos que logran explotar la menor seguridad. vulnerabilidades. Este es un problema continuo, que se discute ampliamente en Internet y se toman varias medidas para evitar que los piratas informáticos estafen a las personas.
Recientemente, Microsoft ha caído en una situación poco envidiable después de que el equipo de investigación de seguridad del Proyecto Cero de Google ha revelado una vulnerabilidad grave en los navegadores web Microsoft Edge e Internet Explorer a finales de noviembre 2016. La vulnerabilidad (indexada como CVE-2017-0038) se conoce como error de confusión de tipos, que se origina en un archivo HTML en el que JavaScript reformatea las propiedades de StyleSheet de una tabla HTML. En consecuencia, la confusión de tipos se origina provocando la laguna de seguridad del navegador web. Como señaló la Base de Datos Nacional de Vulnerabilidad, este error “permite a los atacantes remotos ejecutar código arbitrario a través de vectores que involucra una secuencia de tokens de Hojas de estilo en cascada (CSS) y un código JavaScript diseñado que opera en un [encabezado de tabla] elemento."
Project Zero informó a Microsoft sobre la falla de IE / Edge el 25 de noviembre de 2016 y dio 90 días para lanzar el parche. De lo contrario, Project Zero divulgará los detalles de la vulnerabilidad públicamente. Microsoft ha reconocido el problema y, creemos, estamos trabajando duro para solucionar el problema, aunque fue en vano. Se esperaba que la solución se publicara con el martes de parches de febrero, que, desafortunadamente, se canceló por razones aún desconocidas. El martes de parches habitual está programado solo para marzo. Hasta que Microsoft publique el parche, los expertos en seguridad recomiendan que las personas tomen medidas de precaución y confíen en Google Chrome (versión de 64 bits) en lugar de Edge o IE. Además, cambiar a Windows 10 desde versiones anteriores también es una medida de precaución muy recomendable.
Otra pregunta candente relacionada con el error de Microsoft Edge e IE es si la gente debería confiar en los parches de terceros o no. Acros Security ha presentado un parche temporal para Internet Explorer y Edge Type Confusion Vulnerability, que puede evitar la ejecución de códigos maliciosos. Acros Security está dirigido a vulnerabilidades sin parches, productos al final de su vida útil y no compatibles, software vulnerable de terceros y similares. Se señala que este parche es aplicable para la mayoría de las vulnerabilidades explotables (por ejemplo, cadenas de formato, plantación de binarios, inyecciones de DLL, búferes no comprobados, parches de datos, etc.). Sin embargo, Microsoft no recomienda a los usuarios de Windows que confíen en los parches de terceros. Mientras que los desarrolladores de Acros Security 0patch afirman que el parche se canceló tan pronto como el usuario instala el parche oficial lanzado por el proveedor del sistema operativo. Sin embargo, según el profesional de seguridad Chris Goettl, “Una vez que Microsoft publique una solución, ¿se instalará por encima de los cambios de 0Patch? Si ocurre algún problema, deja al usuario \ empresa en un área gris ". Por lo tanto, para obtener soporte completo y todos correcciones disponibles de Microsoft, es mejor que no permita que terceros modifiquen los componentes de Microsoft en ningún camino.