Conecta con nosotros

Noticias

Microsoft critica a Google por publicar vulnerabilidades antes del parche

Publicado

el

Microsoft critica a Google

El responsable del Centro de respuesta de seguridad de Microsoft, Chris Betz, ha criticado a Google comentando un caso que provocó el debate en Internet cuando Google informó de una vulnerabilidad en Windows 8.1 antes que Microsoft la parcheara.

Como sabes, Google estrenó el pasado verano un ambicioso proyecto bautizado como Project Zero que incluye a un equipo de especialistas en seguridad que trabajan para localizar vulnerabilidades en software de terceros. El equipo encontró una vulnerabilidad Zero Day (para la que no se conoce solución) que permitiría eventualmente una elevación de privilegios y el control de equipos con Windows 8.1.

Google informó a Microsoft de esta vulnerabilidad el 30 de septiembre y bajo las políticas de divulgación de Project Zero comunicó al gigante del software que la haría pública en 90 días. Microsoft no lo parcheó y Google la publicó detallando su posible explotación.

Chris Betz critica que un competidor publique una vulnerabilidad sin que el proveedor de software la haya parcheado: «Quienes están a favor de la divulgación pública creen que este método empuja a los proveedores de software para corregir las vulnerabilidades más rápidamente y hace que los clientes desarrollen y adopten medidas para protegerse. No estamos de acuerdo. Es una presión indebida en un entorno técnico complicado que necesita evaluar plenamente el potencial de la vulnerabilidad y diseñar un parche en un entorno de amenazas más amplio».

El responsable del Microsoft Security Response Center explica que pidieron específicamente a Google la retención de la información hasta que mañana publicaran la solución en el martes de parches mensual y ampliando el plazo oficial del Proyect Zero. «Lo que es correcto para Google no siempre es adecuado para los clientes», asegura. 

Betz añade que Microsoft no cree correcto que investigadores de seguridad encuentren vulnerabilidades en productos de un competidor, apliquen presión sobre la necesidad de una revisión de seguridad o parche dentro de un determinado período de tiempo, y revelen públicamente la información acerca de la vulnerabilidad, permitiendo a los clientes ser atacados antes de haber creado una solución.

«Cualquier persona involucrada en el desarrollo de software sabe que responder a las vulnerabilidades de seguridad puede ser un extenso, laborioso y complejo proceso y por ello instamos a Google a hacer de la protección de los clientes nuestro principal objetivo colectivo«.

Seguro llegará respuesta desde Google y el debate continuará ¿Debería Google haber esperado hasta que Microsoft parcheara la vulnerabilidad? ¿Es un plazo razonable? ¿Debería Microsoft haber parcheado la misma en esos 90 días?

Lo más leído