Estas leyendo
Esta vez ha sido Microsoft quien ha encontrado una vulnerabilidad de Google Chrome

Google Chrome

En estos últimos 12 meses hemos estados acostumbrados a que Google justificara la publicación de vulnerabilidades en productos de Microsoft como Windows 10 sin éstos estar resueltos. En noviembre de 2016 fue una de ellas cuando Microsoft ya tenía preparado el parche para solucionar el problema y más recientemente en mayo de este año, Google anunció otra vulnerabilidad en las instalaciones por defecto de Windows que Microsoft solucionó muy rápidamente. Ahora se han girado las tornas, y ha sido Microsoft quien ha encontrado una vulnerabilidad en Google Chrome, uno de los navegadores más usados en el planeta, y la ha hecho pública.

Microsoft, en su artículo en el blog de seguridad de Windows, explica minuciosamente la vulnerabilidad encontrada en Google Chrome y cómo explotarla. Se trata de un agujero de seguridad que permite ejecutar código remoto en Chrome.

Con la publicación del hallazgo de esta vulnerabilidad, Microsoft ha aprovechado para criticar el sistema en el que Google gestiona las actualizaciones de seguridad por boca de Jordan Rabet, un miembro del Microsoft Offensive Security Research:

Nosotros revelábamos responsablemente la vulnerabilidad que descubrimos junto a un exploit seguro de ejecución de código remoto a Google el pasado 14 de septiembre de 2017. Google corrigió el problema en una semana en sus versiones beta de Chrome, pero el canal estable y público permaneció vulnerable durante casi un mes.

Realmente, esta situación no sería un problema si no fuese porqué el código de la corrección al problema de seguridad estaba accesible de forma pública en Github antes de solucionarse en el canal público de Google Chrome. Esto, como se puede ver, deja un margen de casi 1 mes para que los atacantes puedan aprovechar la vulnerabilidad antes de que el parche de seguridad sea liberado en la versión pública del navegador de Google.

Está claro que Microsoft solo pretende velar por la seguridad de los productos suyos, pero también de los de la competencia que se usan dentro de sus servicios como Windows 10. Y, aunque seguirá avisando de los agujeros de seguridad de forma interna, es obvio pensar que Microsoft está molesta por los gestos que ha hecho últimamente Google anunciando vulnerabilidades no solucionadas poco antes de ser corregidas.

Project Zero de Google funciona de tal forma que desde que encuentra y avisa a las empresas de la vulnerabilidad da un margen de 90 días antes de hacer pública la vulnerabilidad. Puede ser una forma de obligar a la empresa a corregir el fallo, pero también resulta irresponsable por parte de Google, ya que no siempre se ha encontrado una solución a la vulnerabilidad en el plazo marcado.

¿Qué opinas de esta situación?, ¿Beneficia a los usuarios este tipo de acciones?

Toda la información la encuentras en nuestro canal de Telegram ¡Siguenos!

Sobre El Autor
Albert Pina
Albert Pina
Editor Senior de OneWindows. Estudiante de Ingeniería en Informática. Me encanta programar y soy un usuario "estándar" en Windows 10 PC e Insider en Windows 10 Mobile.