Microsoft se niega a solucionar un fallo en Edge, mientras que Google y Apple ya lo han hecho
Los navegadores web son una de las aplicaciones que tiene conexión directa a Internet y, por lo tanto, suelen ser uno de los vectores de ataque para los piratas informáticos más explotado. Por ello, es de vital importancia que los desarrolladores de los principales navegadores web, como Google, Apple, Mozilla e incluso Microsoft cuiden sus navegadores, los auditen y corrijan cualquier vulnerabilidad antes de que esta sea utilizada por piratas informáticos para hacer de las suyas. Por desgracia, esto no siempre ocurre así.
Talos, el departamento de seguridad de Cisco, ha detectado recientemente una vulnerabilidad presente en prácticamente todos los navegadores web modernos, desde Google Chrome y Safari hasta Microsoft Edge.
Este fallo de seguridad se encuentra en la forma en la que los navegadores tratan la página «about:blank» por defecto en ellos. Debido a la falta de comprobaciones, un atacante podría realizar fácilmente un ataque XSS que pudiera engañar al usuario e incluso desvelar información sobre él.
Este tipo de vulnerabilidades no son tan graves como las de ejecución de código remoto, aunque tampoco deben ignorarse. Tan pronto como Talos demostró la vulnerabilidad se lo comunicó a todas las desarrolladoras para que solucionasen cuanto antes el problema y, mientras que compañías como Google y Apple han solucionado el fallo en sus respectivos Google Chrome y Safari, Microsoft se ha negado a reconocer la existencia del fallo y asegura que no tiene intenciones de solucionarlo.
Microsoft no quiere corregir esta vulnerabilidad. ¿It’s not a bug, it’s a feature?
Mientras que sus rivales ya solucionaron esta vulnerabilidad el pasado mes de marzo, Microsoft no lo ha hecho, y no solo eso, sino que tampoco tiene intenciones de hacerlo. La vulnerabilidad fue detectada por primera vez en la versión 40.15063 de Microsoft Edge y, a día de hoy, el navegador sigue siendo vulnerable a pesar de haber recibido varias actualizaciones más.
Talos asegura que la vulnerabilidad es más grave de lo que piensa la compañía, y es que fácilmente se puede utilizar, por ejemplo, para acceder a contenido confidencial en servidores Windows e incluso para evadir las medidas de seguridad de técnicas como la Content Security Policy de Microsoft.
Últimamente Microsoft no está andando muy fino en cuanto a seguridad. Esta misma mañana dábamos a conocer una vulnerabilidad en el kernel de Windows que podía permitir a piratas informáticos ocultar malware y hacerlo indetectable a los antivirus y, literalmente, Microsoft ha dicho que lo la va a solucionar.
Esperamos que tarde o temprano, la compañía recapacite o solucione tanto esta vulnerabilidad de Microsoft Edge como el fallo de seguridad del Kernel de Windows para proteger a los usuarios de posibles ataques, aunque, según parece, por el momento ninguna de las dos vulnerabilidades está en la lista de cosas que interesen a Microsoft.
¿Qué opinas de que Microsoft se niegue a solucionar esta vulnerabilidad en MS Edge?