El grupo de Google dedicado exclusivamente a dar a conocer errores y brechas de seguridad, Project Zero, ha vuelto a ser noticia por exponer un bug en el navegador Microsoft Edge. Si tenemos en consideración que Google es propietaria de Google Chrome, y éste a su vez es la principal competencia de Edge, se trata de un anuncio que pone en el ojo del huracán al navegador de Microsoft.
Este error fue detectado hace aproximadamente 3 meses y, sin embargo, el navegador no ha recibido actualizaciones o parches de seguridad para corregirlo por parte de Microsoft. De hecho, la firma de Redmond ya había recibido la alerta de seguridad por parte de Project Zero después de descubrir el bug en Edge.
Es importante aclarar que no se trata de una especie de ‘juego sucio’ por parte de Google, ya que Project Zero brinda un plazo de 90 días para que los fallos o vulnerabilidades anunciadas sean eliminadas.
Ahora bien, el error de seguridad se liga con ACG (Arbitrary Code Guard)y JIT (Just In Time), lo que ocasiona que el navegador Microsoft Edge no funcione de manera correcta al momento de impedir la ejecución de código malicioso. De hecho, el sistema ACG intenta impedir ataques con código malicioso en sitios web.
Project Zero ha expuesto que el inconveniente es que cuando ACG llegó de la mano de Windows 10 Creators Update, la funcionalidad JIT tuvo que ser desplazada hacia un proceso separado, siendo posible ejecutarla efectivamente en un entorno aislado y con limitaciones. De esta manera, se necesitaba evitar el problema con ACG.
Pese a ello, una solución al fallo implica un mayor consumo de recursos de hardware en el equipo al momento de cargar JIT como un proceso independiente. Este consumo extra traería más seguridad en el proceso de navegación con Microsoft Edge.
Project Zero ha dicho que este fallo es gravedad ‘media’, y que la solución por parte de Microsoft no ha llegado aún. En este sentido, estaremos atentos al lanzamiento de un parche de seguridad que pueda acabar de una vez por todas con esta brecha en Edge.
Con información de www.tekcrispy.com
