Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
-
▼
octubre
(Total:
14
)
- Amazon Key quiere que el repartidor deje el paquet...
- Estudiante es expulsado por usar un hardware keylo...
- Android utilizará DNS sobre TLS para evitar que lo...
- Anonymous atacó la página web del Tribunal Constit...
- OpenBSD decidió publicar el parche para KRACK ante...
- GooglePlay pagará hasta 1.000$ por encontrar fallo...
- Hackers norcoreanos intentaron robar mil millones ...
- Microsoft responde a Project Zero publicando vulne...
- KRACK: la grave vulnerabilidad Wifi en WPA/WPA2
- Un ransomware obliga a Tohisba a suspender la prod...
- La9deAnon hackea la web del mayor sindicato de pol...
- Hackers rusos roban documentos altamente secretos ...
- Anonymous hackea la web de la Comunidad de Madrid
- Nueva versión herramienta Tinfoleak 2.1 para extra...
- ► septiembre (Total: 16 )
-
▼
octubre
(Total:
14
)
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Microsoft responde a Project Zero publicando vulnerabilidades de Chrome
jueves, 19 de octubre de 2017
|
Publicado por
el-brujo
|
Editar entrada
La "guerra" entre navegadores web con IE/Edge de Microsoft y Chrome de Google hace que los expertos de seguridad de ambas empresas estén analizando el software de su rival para poder ponerlo en evidencia a la más mínima oportunidad. Hemos visto cómo el equipo de seguridad de Google, llamado Project Zero, ha hecho públicas distintas vulnerabilidades en Windows, vulnerabilidades muchas de ellas bastante graves.
Google llegó incluso a atacar a Microsoft afirmando que los parches de Windows 10 ponen en peligro a los usuarios de Windows 7, una acusación muy grave teniendo en cuenta que la mayor cuota de mercado de este sistema operativo
Google, cuando su equipo Project Zero comenzó en 2016 a revelar una serie de vulnerabilidades en productos como Internet Explorer, Edge, el paquete de seguridad Windows Defender, e incluso el sistema operativo Windows.
En dos oportunidades, Google optó por revelar vulnerabilidades que aún no habían sido parcheadas por Microsoft, cuando esta última no ofreció soluciones dentro del plazo de 90 días con que opera Project Zero. Éstas decisiones, que causaron molestia en Microsoft, fueron explicadas por Google señalando que iba en el interés público advertir sobre estos problemas una vez finalizado el plazo de gracia.
Este mes, Google fue incluso más lejos, cuando uno de los integrantes de Project Zero criticó la metodología utilizada por Microsoft para parchear su software. Según el empleado de Google, la política de Microsoft de distribuir parches diferentes para cada versión de Windows resulta en nuevas vulnerabilidades en las versiones obsoletas, debido a que los atacantes pueden inferir la fuente de la vulnerabilidad y así diseñar nuevos vectores de ataque.
El 18 de octubre, Microsoft reveló en su blog deficiencias en el navegador Chrome, que fueron comunicadas Google en septiembre pasado. En particular, Microsoft cuestiona la predilección de Google por utilizar sandboxing para aislar procedimientos maliciosos. En un artículo titulado Browser security beyond sandboxing "La seguridad de los navegadores, más allá de sandboxing," la empresa escribe que la seguridad es actualmente un fuerte diferenciador para los usuarios al momento de elegir el navegador adecuado.
La vulnerabilidad utilizada para demostrar estos problemas fue CVE-2017-5121, y fue considerada como una de las más graves del navegador y recompensada con 15.000 dólares, dinero que Microsoft ha anunciado que donará a la beneficencia.
Cabe tener presente que Google solucionó la vulnerabilidad dentro de tres días, mientras que Microsoft no solucionó las suyas dentro del plazo de tres meses con que opera Project Zero de Google. Para que la comparación sea justa, también es importante considerar que Google puede actuar con mucha mayor celeridad, debido a que parchear un navegador no es lo mismo que parchear un sistema operativo. Para el caso de un navegador, la actualización de seguridad es expedita y se instala cuando el usuario inicia el software. Edge, en comparación, debe ser actualizado desde Windows Update.
Fuentes:
http://blog.segu-info.com.ar/2017/10/microsoft-contraataca-project-zero-de.html
https://www.redeszone.net/2017/10/19/microsoft-publica-debilidades-chrome/
Google llegó incluso a atacar a Microsoft afirmando que los parches de Windows 10 ponen en peligro a los usuarios de Windows 7, una acusación muy grave teniendo en cuenta que la mayor cuota de mercado de este sistema operativo
Google, cuando su equipo Project Zero comenzó en 2016 a revelar una serie de vulnerabilidades en productos como Internet Explorer, Edge, el paquete de seguridad Windows Defender, e incluso el sistema operativo Windows.
En dos oportunidades, Google optó por revelar vulnerabilidades que aún no habían sido parcheadas por Microsoft, cuando esta última no ofreció soluciones dentro del plazo de 90 días con que opera Project Zero. Éstas decisiones, que causaron molestia en Microsoft, fueron explicadas por Google señalando que iba en el interés público advertir sobre estos problemas una vez finalizado el plazo de gracia.
Este mes, Google fue incluso más lejos, cuando uno de los integrantes de Project Zero criticó la metodología utilizada por Microsoft para parchear su software. Según el empleado de Google, la política de Microsoft de distribuir parches diferentes para cada versión de Windows resulta en nuevas vulnerabilidades en las versiones obsoletas, debido a que los atacantes pueden inferir la fuente de la vulnerabilidad y así diseñar nuevos vectores de ataque.
Microsoft pone en evidencia al “sandboxing” de Google Chrome
El 18 de octubre, Microsoft reveló en su blog deficiencias en el navegador Chrome, que fueron comunicadas Google en septiembre pasado. En particular, Microsoft cuestiona la predilección de Google por utilizar sandboxing para aislar procedimientos maliciosos. En un artículo titulado Browser security beyond sandboxing "La seguridad de los navegadores, más allá de sandboxing," la empresa escribe que la seguridad es actualmente un fuerte diferenciador para los usuarios al momento de elegir el navegador adecuado.
Todos usamos los navegadores para actividades cotidianas como mantenernos en contacto con nuestros seres queridos, pero también para redactar y editar documentos confidenciales, personales y laborales, e incluso para manejar nuestros activos financieros. Una brecha ocurrida mediante un navegador, puede tener resultados catastróficos".
La vulnerabilidad utilizada para demostrar estos problemas fue CVE-2017-5121, y fue considerada como una de las más graves del navegador y recompensada con 15.000 dólares, dinero que Microsoft ha anunciado que donará a la beneficencia.
Cabe tener presente que Google solucionó la vulnerabilidad dentro de tres días, mientras que Microsoft no solucionó las suyas dentro del plazo de tres meses con que opera Project Zero de Google. Para que la comparación sea justa, también es importante considerar que Google puede actuar con mucha mayor celeridad, debido a que parchear un navegador no es lo mismo que parchear un sistema operativo. Para el caso de un navegador, la actualización de seguridad es expedita y se instala cuando el usuario inicia el software. Edge, en comparación, debe ser actualizado desde Windows Update.
Fuentes:
http://blog.segu-info.com.ar/2017/10/microsoft-contraataca-project-zero-de.html
https://www.redeszone.net/2017/10/19/microsoft-publica-debilidades-chrome/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
Etiquetas:
chrome
,
google
,
google project zero
,
microsoft
,
navegadores
,
project zero
,
sanbox
,
seguridad
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.