Google publica una vulnerabilidad de Microsoft Edge no parcheada tras más de 100 días

La relación entre Project Zero de Google y Microsoft podría no ser la mejor. Hace año y medio el gigante de Redmond se quejó sobre cómo gestionaba la compañía del buscador las vulnerabilidades de Flash, algo que pudo tener cierta respuesta un año después, cuando Microsoft se quejó de cómo gestionaba Google las vulnerabilidades de Chrome.

Ahora, en febrero de 2018, tenemos a Project Zero de Google publicando una vulnerabilidad de Microsoft Edge después de que esta no fuera corregida dentro del límite de 90 días que concede después de cada descubrimiento que hace. Esto quiere decir que los detalles del fallo de seguridad presente en el navegador web son públicos mientras sigue sin estar parcheado.

Siendo más concretos, el fallo afecta a la característica Arbitrary Code Guard (ACG), que fue descrita hace año por Microsoft como un conjunto de grandes mejoras en términos de seguridad publicado en Creators Update de Windows 10. Para mitigar la ejecución de código arbitrario nativo en Microsoft Edge, Creators Update utilizaría Code Integrity Guard (CIG) y Arbitrary Code Guard (ACG) para impedir en el uso de exploits en los navegadores web modernos.

Microsoft explicó cómo los navegadores modernos transforman el código JavaScript en nativo, además de que la habilitación de los compiladores JIT (Just-In-Time) para que trabajen junto con ACG no era una tarea de ingeniería trivial. También ha comentado que “ha movido la funcionalidad JIT a Cakra en un proceso separado que se ejecuta en su propio entorno aislado. El proceso JIT es responsable de la compilación de JavaScript a código nativo y de mapearlo en el proceso de petición de contenidos. De esta manera, el mismo proceso de contenidos nunca tiene permitido el mapeo directo o la modificación de sus propias páginas de código JIT.”

Con AGC habilitado, el kernel de Windows evita que el proceso de contenidos pueda crear y modificar páginas de código en la memoria mediante el cumplimiento forzado de una política que las vuelve inmutables, impidiendo así la creación de páginas de código sin firmar. Sin embargo, la vulnerabilidad hallada en esta característica, que fue considerada como de gravedad media, permite saltársela. Microsoft esgrimió en su defensa que el problema está siendo más difícil de resolver de lo esperado, mientras que Google comenta que cumplió con los 90 días que da a todo desarrollador y que además otorgó 14 días adicionales de gracia para ver si Microsoft terminaba liberando el parche junto con la actualización de seguridad de febrero, cosa que no ocurrió.

Lo peor es que Microsoft es incapaz de establecer una fecha para la corrección del error, por lo que podría incluso no estar solucionado para marzo de 2018, cuando se publiquen los parches de seguridad correspondiente a ese mes.

Aparte de los conflictos que puedan tener Microsoft y Google sobre cómo gestionan los problemas de seguridad en sus productos, la realidad se que Edge sigue siendo a día de hoy un navegador más bien irrelevante en el mercado.

Fuente: CSO Online