Microsoft contraataca a Project Zero de Google y expone vulnerabilidades de Chrome

Una nueva escaramuza ha tenido lugar en lo que podr铆a denominarse “la rivalidad amistosa” entre los equipos de seguridad de Microsoft y Google.

El primer golpe, o en realidad golpes, fueron asestados por Google, cuando su equipo Project Zero comenz贸 en 2016 a revelar una serie de vulnerabilidades en productos como Internet Explorer, Edge, el paquete de seguridad Windows Defender, e incluso el sistema operativo Windows (ver art铆culos relacionados).

En dos oportunidades, Google opt贸 por revelar vulnerabilidades que a煤n no hab铆an sido parcheadas por Microsoft, cuando esta 煤ltima no ofreci贸 soluciones dentro del plazo de 90 d铆as con que opera Project Zero. 脡stas decisiones, que causaron molestia en Microsoft, fueron explicadas por Google se帽alando que iba en el inter茅s p煤blico advertir sobre estos problemas una vez finalizado el plazo de gracia.

Este mes, Google fue incluso m谩s lejos, cuando uno de los integrantes de Project Zero critic贸 la metodolog铆a utilizada por Microsoft para parchear su software. Seg煤n el empleado de Google, la pol铆tica de Microsoft de distribuir parches diferentes para cada versi贸n de Windows resulta en nuevas vulnerabilidades en las versiones obsoletas, debido a que los atacantes pueden inferir la fuente de la vulnerabilidad y as铆 dise帽ar nuevos vectores de ataque.

Llega el turno a Microsoft
El 18 de octubre, Microsoft revel贸 en su blog deficiencias en el navegador Chrome, que fueron comunicadas Google en septiembre pasado. En particular, Microsoft cuestiona la predilecci贸n de Google por utilizar sandboxing para aislar procedimientos maliciosos. En un art铆culo titulado “La seguridad de los navegadores, m谩s all谩 de sandboxing”, la empresa escribe que la seguridad es actualmente un fuerte diferenciador para los usuarios al momento de elegir el navegador adecuado. “Todos usamos los navegadores para actividades cotidianas como mantenernos en contacto con nuestros seres queridos, pero tambi茅n para redactar y editar documentos confidenciales, personales y laborales, e incluso para manejar nuestros activos financieros. Una brecha ocurrida mediante un navegador, puede tener resultados catastr贸ficos”.

Luego, describe un an谩lisis del navegador Chrome, planteando la siguiente pregunta: “驴Es suficiente tener un fuerte modelo de sandboxing para crear un navegador seguro?”. La pregunta es ret贸rica ya que el procedimiento empleado por Microsoft incluye la respuesta: no. En particular, Microsoft concluye que la ejecuci贸n remota de c贸digo (RCE) es posible en Chrome, debido a “la relativa falta de mitigaciones que incorpora para tales vectores de ataque”, mismos que acortan la distancia entre la corrupci贸n de memoria producto de errores de c贸digo, a un exploit. “Varios controles de seguridad realizados dentro del sandbox hacen posible que los exploits de RCE eludan la pol铆tica del mismo origen (SOP), dando a los atacantes acceso a los servicios online de las v铆ctimas, como correo electr贸nico, documentos y sesiones online de banca, aparte de sus credenciales”.

Esta situaci贸n, atribuible a un error de c贸digo, o bug, fue reportada a Google por el equipo Offensive Security Research (OSR) de Microsoft. La incidencia tiene el identificador CVE-2017-5121 y es clasificada por Microsoft como “vulnerabilidad de alta severidad, ya que hace posible la ejecuci贸n de c贸digo remoto dentro del navegador de un usuario”. La vulnerabilidad fue solucionada por Google en Chrome 61, y premiada mediante un cheque por 15.000 d贸lares, girado a nombre de OSR. Microsoft agradeci贸 el gesto pero anunci贸 que donar谩 el dinero a beneficencia.

Cabe tener presente que Google solucion贸 la vulnerabilidad dentro de tres d铆as, mientras que Microsoft no solucion贸 las suyas dentro del plazo de tres meses con que opera Project Zero de Google. Para que la comparaci贸n sea justa, tambi茅n es importante considerar que Google puede actuar con mucha mayor celeridad, debido a que parchear un navegador no es lo mismo que parchear un sistema operativo. Para el caso de un navegador, la actualizaci贸n de seguridad es expedita y se instala cuando el usuario inicia el software. Edge, en comparaci贸n, debe ser actualizado desde Windows Update.

Ilustraci贸n: Rocketace v铆a Flickr (Licencia Creative Commons)

Google revela vulnerabilidad de Windows a煤n no resuelta por Microsoft

Google revela nuevamente vulnerabilidad de Windows

Microsoft reprende a Google




Newsletter

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.