Google descubre serio error en Microsoft Edge y lo hace público

Google descubre serio error en Microsoft Edge y lo hace público

Notificaron a la compañía de Redmond, pero excedieron el plazo para arreglarlo y Google lo difundió.

A pesar que los ingenieros de Google notificaron a Microsoft sobre una vulnerabilidad en su navegador Microsoft Edge, la firma excedió los 90 días que usualmente se dejan para que las empresas liberen parches a sus errores, por lo que hicieron pública la información sobre un error en su mecanismo de seguridad.

Microsoft agregó en abril de 2017 la característica Arbitrary Code Guard (ACG), y se suponía que robustecería el navegador evitar que los atacantes usaran JavaScript para cargar código malicioso en la memoria de los computadores con Edge.

Sin embargo, Ivan Fratric, un ingeniero de seguridad del equipo Project Zero de Google, descubrió una forma de eludir el ACG y permitir que un atacante cargue código sin firmar en la memoria, generando una fisura de seguridad potencialmente peligrosa.

Fratric informó el problema a Microsoft el pasado noviembre, en un informe técnico privado, pero la fecha límite para solucionar el error pasó. En declaraciones recogidas por Bleeping Computer, Fratric menciona que la respuesta de la multinacional pasó por alto los plazos que usualmente se manejan para reparar vulnerabilidades. Esto le respondieron:

La solución es más compleja de lo previsto inicialmente y es muy probable que no podamos cumplir con la fecha límite de lanzamiento de febrero, debido a los problemas de administración de la memoria. El equipo de Microsoft Edge está seguro que estará listo para enviarse el 13 de marzo.

Como el equipo encargado de analizar las brechas de seguridad, Google Project Zero, no anda con juegos, publicaron la forma de pasar por alto la seguridad del navegador (ACG), dejando expuestos a los usuarios. Aún está por verse si Microsoft decide dejar esperar hasta marzo para sacar un parche o, dada la contingencia, emite uno antes.