Google desvela un fallo de Día Cero en Microsoft Edge

  • Vulnerabilidades

Google Project Zero ha hecho público un fallo de seguridad que afecta al navegador Edge de Microsoft antes de que esta última compañía pudiera ofrecer una solución.

También puedes leer...

Todo sobre Spectre y Meltdown

SecOps a examen

Los mitos de las Brechas de Seguridad

La creación de un SOC

Cómo sobrevivir a un ataque BEC

Google ha revelado información sobre un fallo de Día Cero en Microsot Edge que la compañía de Redmond no ha parcheado durante el periodo de 90 días que se ofrece antes de hacer pública una vulnerabilidad.

Google creó un equipo de seguridad, conocido como Project Zero, con el objetivo de evitar ataques dirigidos informando sobre fallos a los vendedores de software y archivarlos en una base de datos externa.

La vulnerabilidad que ahora ha desvelado Google fue descubierta en noviembre de 2017 permite la inyección y ejecución de código en el navegador Microsoft Edge. El fallo permite superar la Arbitrary Code Guard (ACG), una característica que Microsoft añadió a Edge en Windows 10 Creators, junto con Code Integrity Guard (CIG), ambas diseñadas para impedir exploits que ejecuten código malicioso.

Ivan Fratric, ingeniero de seguridad de Google que ha descubierto la manera de superar ACG y permitir que un atacante cargue código sin firmar en la memoria, informó de sus investigaciones a Microsoft el pasado 17 de noviembre. La compañía de Redmond había planeado parchear la vulnerabilidad en su actualización de seguridad de febrero, pero al final el parche es más complejo de lo inicialmente había previsto.

Microsoft espera tener el parche listo para el próximo 13 de marzo, fecha que supera el plazo de 90 días que ofrece Google Poryect para hacer públicos detalles de la vulnerabilidad, que considera de nivel medio.