Microsoft responde a Project Zero publicando las debilidades de Chrome

Escrito por Rubén Velasco

Aunque a grandes rasgos puede parecer que los mercados de Google y Microsoft son distantes (Microsoft con Windows y Google con su buscador y Android), en realidad ambas empresas comparten rivalidad en más servicios de los que imaginamos, como en los navegadores web con IE/Edge y Chrome), lo que hace que los expertos de seguridad de ambas empresas estén analizando el software de su rival para poder ponerlo en evidencia a la más mínima oportunidad.

En muchas ocasiones hemos visto cómo el equipo de seguridad de Google, llamado Project Zero, ha hecho públicas distintas vulnerabilidades en Windows, vulnerabilidades bastante serias que han puesto en peligro realmente a los usuarios por culpa de ambas empresas, Microsoft por tardar en solucionarlo y Google por hacerla pública.

A principios de este mes, Google llegó incluso a atacar a Microsoft afirmando que los parches de Windows 10 ponen en peligro a los usuarios de Windows 7, una acusación muy grave teniendo en cuenta que la mayor cuota de mercado de este sistema operativo es, precisamente, esta veterana versión de Windows.

Normalmente Microsoft no suele responder a estas acusaciones y, si se trata de una vulnerabilidad, la soluciona con los siguientes parches y listo. Sin embargo, tras estas acusaciones, los expertos de seguridad de Microsoft se han cansado y han decidido responder a Google recordándole que él tampoco está blindado, y que también comete serios fallos de seguridad,

Microsoft pone en evidencia al “sandboxing” de Google Chrome

Si algo caracteriza a la seguridad de Google Chrome es su sandboxing, o aislamiento de procesos. Absolutamente todos los elementos del navegador están aislados unos de otros, lo que impide que cualquier código malicioso pueda acceder a otros procesos o recursos. Sin embargo, meterlo todo en un cajón de arena no lo es todo en cuanto a seguridad.

Ayer mismo, Microsoft hacía públicas una serie de vulnerabilidades en Chrome que habían sido reportadas a Google hace más de un mes que demostraban que, aunque el navegador tenga aislados los procesos, es posible ejecutar código en la memoria a través del navegador debido a la falta de sistemas de detección y mitigación de vulnerabilidades dentro del propio navegador.

Además, también se han encontrado muchas debilidades en los controles de seguridad de los sandbox del navegador, debilidades que pueden permitir a un atacante eludir la política de origen y permitir a un exploit acceder a los servicios online de las víctimas.

La vulnerabilidad utilizada para demostrar estos problemas fue CVE-2017-5121, y fue considerada como una de las más graves del navegador y recompensada con 15.000 dólares, dinero que Microsoft ha anunciado que donará a la beneficencia.

Es cierto que Google solucionó el fallo en tan solo 3 días (mientras que Microsoft tardó más de 3 meses en solucionar las vulnerabilidades), y que desde Google Chrome 61 está ya solventada, pero lo que Microsoft ha querido demostrar con esto es que todos cometemos errores, y que mientras que Google opta por lo fácil, que es aislar procesos para evitar que se comuniquen unos con otros, Microsoft prefiere utilizar sistemas de detección y mitigación que le protejan de estas amenazas.

¿Qué opinas de la seguridad de Google Chrome? ¿Crees que el sandboxing es suficiente?