Google le sigue aguando la fiesta a Microsoft

Publicado el 21 enero 2015 por Jesús Jiménez @zonageeknet

Dos nuevas vulnerabilidades en Windows han sido liberadas por Google Project Zero tras pasar los 90 días estipulados para su publicación.

Aparentemente 90 días es muy poco tiempo para que Microsoft se ponga manos a la obra y nuevamente, tras cumplirse el tiempo de gracia, Project Zero ha liberado dos nuevos bugs de Windows, uno de ellos aparentemente bastante grave.

El mas serio de todos permitiría a un atacante impersonar a un usuario autorizado para encriptar o desencriptar datos en memoria en equipos con Windows 7 y 8.1. Esto, según el gigante de Redmond, permitiría revelar información confidencial o permitir la alteración de los controles de seguridad. Como siempre, Project Zero ha liberado una prueba de concepto. El permitiría a un usuario no autorizado obtener información sobre las propiedades de energía del equipo. Ni el mismo Google esta seguro si se trata de un fallo o no, pero igual lo publicó.

No cabe duda de que esta iniciativa, si es enfocada adecuadamente, puede llegar a ser muy provechosa para la seguridad de los usuarios comunes en Internet, al atacar rápidamente los fallos que puedan ser aprovechados por personas mal intencionadas. Al parecer, a Microsoft no le ha causado mucha gracia. Hace unos días, Project Zero libero una vulnerabilidad dos días antes de que el parche fuese liberado, y sin darle tiempo a recuperarse del impacto, acaba de liberar dos mas con sus pruebas de concepto. Desde el Microsoft Security Response Center se pronuncian de la siguiente manera:

El movimiento de Google se siente menos como principios y más como un 'te-atrapé' ("gotcha") y, como resultado, los clientes pueden sufrir. Lo que es correcto para Google no es siempre cierto para los clientes. Instamos a Google a hacer de la protección de los clientes nuestro objetivo colectivo. Creemos en Coordinated Vulnerability Disclosure (CVD).

Chris Betz, director senior de la Microsoft Security Response Center

Google notifico el 17 de Octubre a Microsoft de las vulnerabilidades, y Microsoft confirmo la recepción el 29 de Octubre indicando que habían logrado reproducir el Bug y que tendrían el parche programado para el martes 10 de Febrero.

Si bien las intenciones aparentemente son buenas, no es la manera de manejar casos tan delicados como vulnerabilidades de seguridad. mas aun cuando se recibió una respuesta oportuna. No todos los errores de Software pueden corregirse de manera inmediata y no parece leal liberar al publico un fallo antes de que se libere el parche aun sabiendo que el parche esta programado. Sabemos que son políticas del proyecto esperar 90 días, pero esto puede facilitarles enormemente el trabajo a los cibercriminales y el objetivo de Project Zero, que supuestamente es proteger al usuario, quedaría desvirtuado.

Fuente: ComputerWorld

Curioso, Apasionado por la ciencia, investigador nato. CEO, Editor y Redactor en ZonaGeek.Net.