elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Microsoft contraataca a Project Zero de Google y expone vulnerabilidades de ...
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Microsoft contraataca a Project Zero de Google y expone vulnerabilidades de ...  (Leído 1,025 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.668



Ver Perfil WWW
Microsoft contraataca a Project Zero de Google y expone vulnerabilidades de ...
« en: 19 Octubre 2017, 22:22 pm »

 Una nueva escaramuza ha tenido lugar en lo que podría denominarse "la rivalidad amistosa" entre los equipos de seguridad de Microsoft y Google.
Diario TI 19/10/17 5:00:03

El primer golpe, o en realidad golpes, fueron asestados por Google, cuando su equipo Project Zero comenzó en 2016 a revelar una serie de vulnerabilidades en productos como Internet Explorer, Edge, el paquete de seguridad Windows Defender, e incluso el sistema operativo Windows (ver artículos relacionados).

En dos oportunidades, Google optó por revelar vulnerabilidades que aún no habían sido parcheadas por Microsoft, cuando esta última no ofreció soluciones dentro del plazo de 90 días con que opera Project Zero. Éstas decisiones, que causaron molestia en Microsoft, fueron explicadas por Google señalando que iba en el interés público advertir sobre estos problemas una vez finalizado el plazo de gracia.

Este mes, Google fue incluso más lejos, cuando uno de los integrantes de Project Zero criticó la metodología utilizada por Microsoft para parchear su software. Según el empleado de Google, la política de Microsoft de distribuir parches diferentes para cada versión de Windows resulta en nuevas vulnerabilidades en las versiones obsoletas, debido a que los atacantes pueden inferir la fuente de la vulnerabilidad y así diseñar nuevos vectores de ataque.

Llega el turno a Microsoft

El 18 de octubre, Microsoft reveló en su blog deficiencias en el navegador Chrome, que fueron comunicadas Google en septiembre pasado. En particular, Microsoft cuestiona la predilección de Google por utilizar sandboxing para aislar procedimientos maliciosos. En un artículo titulado “La seguridad de los navegadores, más allá de sandboxing”, la empresa escribe que la seguridad es actualmente un fuerte diferenciador para los usuarios al momento de elegir el navegador adecuado. “Todos usamos los navegadores para actividades cotidianas como mantenernos en contacto con nuestros seres queridos, pero también para redactar y editar documentos confidenciales, personales y laborales, e incluso para manejar nuestros activos financieros. Una brecha ocurrida mediante un navegador, puede tener resultados catastróficos”.

Luego, describe un análisis del navegador Chrome, planteando la siguiente pregunta: “¿Es suficiente tener un fuerte modelo de sandboxing para crear un navegador seguro?”. La pregunta es retórica ya que el procedimiento empleado por Microsoft incluye la respuesta: no. En particular, Microsoft concluye que la ejecución remota de código (RCE) es posible en Chrome, debido a “la relativa falta de mitigaciones que incorpora para tales vectores de ataque”, mismos que acortan la distancia entre la corrupción de memoria producto de errores de código, a un exploit. “Varios controles de seguridad realizados dentro del sandbox hacen posible que los exploits de RCE eludan la política del mismo origen (SOP), dando a los atacantes acceso a los servicios online de las víctimas, como correo electrónico, documentos y sesiones online de banca, aparte de sus credenciales”.

Esta situación, atribuible a un error de código, o bug, fue reportada a Google por el equipo Offensive Security Research (OSR) de Microsoft. La incidencia tiene el identificador CVE-2017-5121 y es clasificada por Microsoft como “vulnerabilidad de alta severidad, ya que hace posible la ejecución de código remoto dentro del navegador de un usuario”. La vulnerabilidad fue solucionada por Google en Chrome 61, y premiada mediante un cheque por 15.000 dólares, girado a nombre de OSR. Microsoft agradeció el gesto pero anunció que donará el dinero a beneficencia.

Cabe tener presente que Google solucionó la vulnerabilidad dentro de tres días, mientras que Microsoft no solucionó las suyas dentro del plazo de tres meses con que opera Project Zero de Google. Para que la comparación sea justa, también es importante considerar que Google puede actuar con mucha mayor celeridad, debido a que parchear un navegador no es lo mismo que parchear un sistema operativo. Para el caso de un navegador, la actualización de seguridad es expedita y se instala cuando el usuario inicia el software. Edge, en comparación, debe ser actualizado desde Windows Update.

https://diarioti.com/microsoft-contraataca-a-project-zero-de-google-y-expone-vulnerabilidades-de-chrome/105981


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Microsoft contraataca a Google
Noticias
wolfbcn 8 1,554 Último mensaje 2 Junio 2010, 18:19 pm
por [D4N93R]
Blink: Google contraataca con otro nuevo motor de renderizado para Chrome
Noticias
wolfbcn 0 1,001 Último mensaje 4 Abril 2013, 01:38 am
por wolfbcn
Microsoft contraataca y vuelve a reírse de Google Chrome
Noticias
wolfbcn 0 605 Último mensaje 15 Septiembre 2016, 21:35 pm
por wolfbcn
Google contraataca y bloquea YouTube en los dispositivos de Amazon
Noticias
wolfbcn 0 694 Último mensaje 6 Diciembre 2017, 21:45 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines