Microsoft responde a Project Zero publicando vulnerabilidades de Chrome



La "guerra" entre navegadores web con IE/Edge de Microsoft y Chrome de Google hace que los expertos de seguridad de ambas empresas estén analizando el software de su rival para poder ponerlo en evidencia a la más mínima oportunidad. Hemos visto cómo el equipo de seguridad de Google, llamado Project Zero, ha hecho públicas distintas vulnerabilidades en Windows, vulnerabilidade






Google llegó incluso a atacar a Microsoft afirmando que los parches de Windows 10 ponen en peligro a los usuarios de Windows 7, una acusación muy grave teniendo en cuenta que la mayor cuota de mercado de este sistema operativo

Google, cuando su equipo Project Zero comenzó en 2016 a revelar una serie de vulnerabilidades en productos como Internet Explorer, Edge, el paquete de seguridad Windows Defender, e incluso el sistema operativo Windows.

En dos oportunidades, Google optó por revelar vulnerabilidades que aún no habían sido parcheadas por Microsoft, cuando esta última no ofreció soluciones dentro del plazo de 90 días con que opera Project Zero. Éstas decisiones, que causaron molestia en Microsoft, fueron explicadas por Google señalando que iba en el interés público advertir sobre estos problemas una vez finalizado el plazo de gracia.

Este mes, Google fue incluso más lejos, cuando uno de los integrantes de Project Zero criticó la metodología utilizada por Microsoft para parchear su software. Según el empleado de Google, la política de Microsoft de distribuir parches diferentes para cada versión de Windows resulta en nuevas vulnerabilidades en las versiones obsoletas, debido a que los atacantes pueden inferir la fuente de la vulnerabilidad y así diseñar nuevos vectores de ataque.


Microsoft pone en evidencia al “sandboxing” de Google Chrome




El 18 de octubre, Microsoft reveló en su blog deficiencias en el navegador Chrome, que fueron comunicadas Google en septiembre pasado. En particular, Microsoft cuestiona la predilección de Google por utilizar sandboxing para aislar procedimientos maliciosos. En un artículo titulado "La seguridad de los navegadores, más allá de sandboxing," la empresa escribe que la seguridad es actualmente un fuerte diferenciador para los usuarios al momento de elegir el navegador adecuado.



Todos usamos los navegadores para actividades cotidianas como mantenernos en contacto con nuestros seres queridos, pero también para redactar y editar documentos confidenciales, personales y laborales, e incluso para manejar nuestros activos financieros. Una brecha ocurrida mediante un navegador, puede tener resultados catastróficos". 
La vulnerabilidad utilizada para demostrar estos problemas fue CVE-2017-5121, y fue considerada como una de las más graves del navegador y recompensada con 15.000 dólares, dinero que Microsoft ha anunciado que donará a la beneficencia.

Cabe tener presente que Google solucionó la vulnerabilidad dentro de tres días, mientras que Microsoft no solucionó las suyas dentro del plazo de tres meses con que opera Project Zero de Google. Para que la comparación sea justa, también es importante considerar que Google puede actuar con mucha mayor celeridad, debido a que parchear un navegador no es lo mismo que parchear un sistema operativo. Para el caso de un navegador, la actualización de seguridad es expedita y se instala cuando el usuario inicia el software. Edge, en comparación, debe ser actualizado desde Windows Update.

Fuentes:
http://blog.segu-info.com.ar/2017/10/microsoft-contraataca-project-zero-de.html
https://www.redeszone.net/2017/10/19/microsoft-publica-debilidades-chrome/

Via: blog.elhacker.net
Microsoft responde a Project Zero publicando vulnerabilidades de Chrome Microsoft responde a Project Zero publicando vulnerabilidades de Chrome Reviewed by Zion3R on 18:44 Rating: 5