Google ha vuelto al ataque para asestarle un golpe a Microsoft. El equipo dedicado a la seguridad de la Gran G, Project Zero, ha publicado una nueva vulneravilidad zero day que afecta a Internet Explorer y Microsoft Edge. Este agujero se podría aprovechar para dos propósitos: "tirar" los navegadores o realizar ataques por ejecución arbitraria de código.

El bug, que explota una confusión de tipos en HandleColumnBreakOnColumnSpanningElement, fue descubierto el 25 de noviembre de 2016 y se hizo público el pasado día 23 de febrero. ¿Por qué se tardó tanto? Porque Project Zero siempre da 90 días de plazo para hacer públicos sus descubrimientos, de forma que a la empresa le de tiempo de parchearlos. Cuando no lo hacen, entonces se les "avergüenza" públicamente.

No es nuestro cometido determinar si Microsoft se lo merece o no, pero lo que no se puede rebatir es que, según MSPowerUser, la empresa de Redmond ha cancelado el Patch Tuesday de este mes, con lo que deja a sus usuarios con, al menos, dos vulnerabilidades conocidas que se pueden explotar y que no ha corregido. Vale la pena recordar que no es la primera vez que Google le hace algo así a Microsoft.

La vulnerabilidad es fácil de explotar según los investigadores, siendo la prueba de concepto 17 líneas de HTML, enfocadas en dos variables, rcx y rax. En el post de Project Zero podemos leer que un natacante "puede afectar a rax modificando las propiedades de la tabla como el espaciado entre …