El equipo de Google dedicado exclusivamente a la seguridad informática, Project Zero, ha vuelto a destapar un grave fallo de seguridad del navegador web Microsoft Edge. La compañía de Mountain View ha desvelado un problema relacionado con ACG y JIT, el cual Microsoft aún no ha resuelto. La cuestión es que el sistema de Microsoft Edge para evitar la ejecución de código arbitrario no funciona como debería.

ACG fue lanzado junto a Windows 10 Creators Update, y efectivamente es un sistema que está diseñado para frustrar ataques orientados a ejecutar código malicioso. Con esto, Microsoft, con su navegador web Edge, pretende evitar ataques con código arbitrario a partir de páginas web. ¿El problema? Que hay un conflicto con JIT (Just In Time-, según el cual se transforma el JavaScript en código nativo y, por lo tanto, se puede ejecutar código no firmado. La solución, para la compañía de Redmond, fue cargar JIT en un proceso independiente para crear un entorno aislado y limitado.

Google ha encontrado un fallo en Microsoft Edge que todavía no está resuelto

Google ha dado a Microsoft el plazo habitual de 90 días. Cuando se detecta un problema de seguridad de este tipo se notifica a la compañía afectada, que en este caso es Microsoft, y se le dan esos 90 días para resolverlo. En algunos casos concretos, como este, por la complicación en la solución se da un período extendido con 14 días adicionales para facilitar a los usuarios una actualización con la solución correspondiente. Ese importante plazo de tiempo, con el período extendido, ya ha pasado y por tanto Google informa de manera pública sobre el fallo de seguridad encontrado. Y mientras, Microsoft no lo ha resuelto.

Por lo tanto, aunque la compañía de Redmond estrenó en Microsoft Edge, con Windows 10 Creators Update, esta importante novedad para evitar la ejecución de código arbitrario, el sistema no funciona como debería. Y lo que sí ocurre es que, como JIT se carga en un proceso independiente, se consumen recursos del ordenador que ejecuta Windows 10 Creators Update sin aportar seguridad adicional en la navegación web. La solución al problema debería llegar, pero Microsoft no la ha lanzado todavía, y el fallo de seguridad ya es público.