Google revela un bug de Edge que Microsoft no ha podido solucionar

Share this…

Google, como lo han hecho antes, decidió revelar una vulnerabilidad en el software de Microsoft antes de que la compañía pudiera ofrecer una solución. Microsoft ha tenido problemas para solucionar esta vulnerabilidad.

Publicada a detalle en el rastreador de errores Project Zero de Google, la vulnerabilidad afecta el compilador just-in-time que el navegador Edge de Microsoft usa para ejecutar JavaScript y hace posible predecir el espacio de memoria que está a punto de usar. Un especialista en seguridad de datos nos dice, que una vez que un atacante conoce su memoria, puede mostrar su propio código y tener todo tipo de control ya que Edge ejecuta las instrucciones de su elección en lugar de JavaScript en la página web que el navegador estaba procesando.

google edge microsoft

El 17 de noviembre de 2017 se publicó una nueva falla en Project Zero con la advertencia habitual  “este error está sujeto a una fecha límite de divulgación de 90 días. Después de que pasen 90 días o se haya hecho disponible un parche, el informe de error se volverá visible para el público”. Google más tarde dio a Microsoft 14 días más para resolver las cosas.

Pero la semana pasada, el 15 de febrero, Microsoft respondió que “…la solución es más compleja de lo que inicialmente se esperaba, y es muy probable que no podamos cumplir con la fecha límite de lanzamiento de febrero debido a estos problemas de administración de memoria, el equipo está seguro de que estará listo para enviarse el 13 de marzo”.

La siguiente publicación por parte de Google declaro “Fecha límite excedida – eliminación automática de la restricción”.  Los profesionales de seguridad cibernética  dicen que esto es una mala noticia, ya que la publicación original de Google explica la vulnerabilidad en gran detalle y ahora es visible para cualquier persona que quiera aprovecharse de esto.

En octubre de 2017, Microsoft criticó a Google dado que la divulgación puede poner en peligro a los usuarios. Ese resultado parece posible en este caso.

También vale la pena considerar el comportamiento de Google en la revelación de los defectos de diseño de CPU Meltdown / Spectre, ya que en esa ocasión se enumeraron las vulnerabilidades en junio de 2017, pero no se divulgó hasta enero de 2018.