Tres días en un mismo mes sin "vulnerabilidad cero" en Windows, de acuerdo con Google
Los investigadores de Google que trabajan en Project Zero explican que ya informaron a Microsoft, en octubre el año pasado, que habían detectado una nueva vulnerabilidad en el sistema. Inicialmente, ambas organizaciones acordaron arreglar el problema la semana pasada. No obstante, la jornada fue pospuesta por Microsoft debido a problemas de compatibilidad.
Indiferente a los planteamientos expuestos por Microsoft por los que justificaba el retraso de esta enmienda, Google decidió, el martes de la semana pasada, publicar detalles de la vulnerabilidad de Windows. La nueva fecha prevista para el arreglo en la seguridad de la plataforma más extendida de Microsoft, de acuerdo con Google, está fijada para el próximo 10 de febrero; si bien afirman que no hay garantías de que se cumpla y es probable de que sea nuevamente aplazada. Por supuesto que Microsoft siempre tiene la opción de desarrollar una release de tipo out-of-band que parchee el sistema, pero la compañía raramente lo hace y, cuando lo ha hecho, ha sido para subsanar fallos en los procesos críticos, algo que los atacantes están siempre buscando activamente.
A lo lago de un mes, Project Zero afirma haber encontrado tres fallos en la vulnerabilidad de Windows; unos problemas de seguridad que los investigadores de dicha compañía que trabajan para Google afirman haber detectado durante el último mes como consecuencia del retraso a tomar cartas en el asunto de una manera rápida y efectiva. El largo tiempo transcurrido entre el problema y la búsqueda de una solución obedece a un acuerdo alcanzado tiempo atrás por ambas firmas por el que han de transcurrir 90 días desde la detección del fallo y momento de la incorporación del correspondiente parche. Por este motivo, dos días atrás, Microsoft denunció públicamente a Google por su falta de flexibilidad en la divulgación de problemas relacionados con vulnerabilidades del sistema, alegando que los investigadores deberían de trabajar con las compañías afectadas hasta encontrar la solución, antes de hacer públicas este tipo de informaciones.
“La publicación de noticias relacionada con vulnerabilidades antes de haber encontrado una solución pone en peligro los sistemas de información de millones de compañías y personas que dependen de dichos sistemas”, afirma en su blog Chris Betz, director del Security Response Center de Microsoft. En cualquier caso, la mayoría de expertos está de acuerdo al afirmar que el plazo de 90 días que ha de transcurrir para el vencimiento de una vulnerabilidad es demasiado largo para un software vendor, en especial para una compañía de la talla de Microsoft.
