Para ello hay que extraer el firmware y presentarlo a VirusTotal, algo que no todo el mundo puede hacer, pero es un buen paso para poder garantizar privacidad en los ordenadores sobre los cuales sospechamos algún tipo de “intromisión”.

Microsoft encuentra una vulnerabilidad crítica en Chrome

102 0

Agencias / InsurgentePress, Ciudad de México.- El primer golpe, o en realidad golpes, fueron asestados por Google, cuando su equipo Project Zero comenzó en 2016 a revelar una serie de vulnerabilidades en productos como Internet Explorer, Edge, el paquete de seguridad Windows Defender, e incluso el sistema operativo Windows (ver artículos relacionados).

En dos oportunidades, Google optó por revelar vulnerabilidades que aún no habían sido parcheadas por Microsoft, cuando esta última no ofreció soluciones dentro del plazo de 90 días con que opera Project Zero. Éstas decisiones, que causaron molestia en Microsoft, fueron explicadas por Google señalando que iba en el interés público advertir sobre estos problemas una vez finalizado el plazo de gracia.

Este mes, Google fue incluso más lejos, cuando uno de los integrantes de Project Zero criticó la metodología utilizada por Microsoft para parchear su software. Según el empleado de Google, la política de Microsoft de distribuir parches diferentes para cada versión de Windows resulta en nuevas vulnerabilidades en las versiones obsoletas, debido a que los atacantes pueden inferir la fuente de la vulnerabilidad y así diseñar nuevos vectores de ataque.

En un post en el blog de seguridad de Windows, Microsoft ha explicado cómo encontró y explotó una vulnerabilidad en Chrome que permite ejecutar código de forma remota. Pero como era de esperarse esto no quedó solo ahí.

En Microsoft aprovecharon para criticar la forma en la que Google manejan sus parches de seguridad:

Nosotros responsablemente hemos divulgado la vulnerabilidad descubierta a Google el 14 de septiembre de 2017, junto a un exploit seguro para la ejecución remota del código. Google corrigió el problema en una semana dentro de las versiones beta de Chrome, pero el canal estable y público permaneció vulnerable por casi un mes

Google publicó el código del parche antes de actualizar las versiones estables de Chrome, en consecuencia haciendo del conocimiento público un fallo antes de arreglarlo para los usuarios.

A Microsoft le parece problemático que las vulnerabilidades se divulguen a los atacantes antes de que los parches estén disponibles. Una crítica clara en referencia a la forma en la que Project Zero maneja las vulnerabilidades que descubre en los productos de otras empresas.

El Project Zero de Google le da 90 días a las empresas para que resuelvan los fallos de seguridad antes de hacerlos públicos, algo por lo que se han ganado muchas críticas, y un tema que ha sido caldo de opiniones encontradas.

Para Microsoft resulta irresponsable hacer públicos estos fallos sin que se haya encontrado una solución, y varias veces se han quejado de esto pues insisten en que pone en peligro a los usuarios.

Sin embargo, otros piensan que es una solución efectiva en el caso de aquellas empresas que no muestran interés en solucionar los errores de su software a no ser que estos acaben saltando a las portadas de los medios, pone presión sobre ellas y es buena para la competencia.

Fuente: Microsoft Windows.