Google y Microsoft, en guerra por un bug

La seguridad del usuario es la prioridad número uno para la gran mayoría de las compañías (o al menos eso nos hacen creer), pero la interpretación de las “buenas prácticas” en esta materia puede ser muy diferente, a un punto tal que dos compañías terminan enfrentadas. Ese es el caso de Google y Microsoft, que ingresaron a una nueva fase ácida de su relación debido a un bug en Windows 8.1, y a la manera en que Mountain View lo reveló al público.

Antes de comenzar, necesitamos un poco de información extra: En julio del año pasado, el gigante de Mountain View presentó a Project Zero. El objetivo de esta iniciativa es identificar bugs en productos que no están relacionados con Google, pero que son de gran interés para hacer a la Web un poco más segura, como sistemas operativos y navegadores. Project Zero reporta estos bugs a los desarrolladores casi de inmediato, y establece automáticamente un “acuerdo de confidencialidad” con una validez de 90 días, para dar tiempo suficiente a la creación de parches. Una vez que esos 90 días concluyen, Project Zero libera al público todos los datos técnicos sobre el bug, incluyendo los elementos para su reproducción. Lo que nos trae aquí es el denominado “Asunto 123” de Project Zero, que habla sobre una vulnerabilidad de elevación de privilegios en el Servicio de Perfil de Usuario bajo Windows 8.1, en sus versiones de 32 y 64 bits. El reporte original fue escrito el pasado 13 de octubre, sin embargo, Redmond nunca preparó el hotfix correspondiente. Esto causó que Project Zero publique algo similar a un “0-day” en Windows 8.1.

Windows 8.1
A Microsoft no le gustó mucho la forma en que Project Zero publicó la vulnerabilidad de Windows 8.1…

 

De más está decirlo, en Microsoft derriten plomo con la mirada. Chris Betz, director senior del Centro de Respuesta en Microsoft Security se tomó un poco más que algunos minutos para compartir en uno de los blogs oficiales su opinión sobre la publicación de Project Zero. En primer lugar, explica que en Microsoft “están en desacuerdo” con la estrategia de compartir toda la información sobre bugs en un intento por acelerar los procesos de corrección, y que creen en la publicación coordinada de vulnerabilidades. Betz también indica que a pesar de haber solicitado formalmente a Google que demore la publicación del bug, la compañía decidió ignorar esto, aún sabiendo que faltaban apenas dos días para que el hotfix apareciera en Windows Update (hoy es el clásico “martes de parches”). Para rematar, Betz básicamente acusa a Google de colocar a Microsoft en una condición de “te atrapé”, en vez de proteger el interés de los usuarios.

En la otra acera, descubrimos que Google reportó el bug por primera vez el 30 de septiembre, o sea que Microsoft tuvo más de 90 días para resolver el problema. Si bien son necesarias algunas condiciones previas para hacer provecho de ella, eso no le resta importancia a la vulnerabilidad, que genera las siempre temidas elevaciones de privilegios. En lo personal, creo que es una falla de ambas partes. Betz hace todo lo posible por explicar por qué tardaron tanto en crear el parche, pero si una corporación multinacional con los recursos de Microsoft necesita más de la cuarta parte de un año para corregir un bug, tiene un problema. Y por el lado de Google, si apenas 48 horas eran suficientes para evitar todo este escándalo, Mountain View debería reevaluar un poco sus decisiones en el futuro.

Deja tu voto

0 puntos
Upvote Downvote

Total votes: 0

Upvotes: 0

Upvotes percentage: 0.000000%

Downvotes: 0

Downvotes percentage: 0.000000%

  • Chenchu007

    Si, solo faltaron 2 días para que Microsoft dentro de su maravillosa estrategia de parecer más seguro y no publicar parches a diario, publicase un parche a un fallo importante. ¿Lo tendrían echo? o ¿es una disculpa a un descuido o fallo de valoración?.

    Seguramente nunca lo sabremos.

  • D.Sarkissian

    A mi parecer, aquí la culpa es solo de Microsoft. Al principio pareciera que ambas compañías tienen reglas similares:

    – Google: publicar los hallazgos sobre bugs hechos por Project Zero 90 días después de notificarlos privadamente al creador del software.
    – Microsoft: publicar parches cada día martes.

    Aparentemente, cualquiera de las dos reglas podría ser ignorada por igual. Sin embargo, si Google le hacía un favor a Microsoft obviando su regla por 2 días entonces cualquier otra compañía podría en el futuro pedir flexibilidad en el plazo de los 90 días en base a políticas internas (“solo liberamos parches el último de cada mes”, “solo liberamos parches una vez al año, con la nueva versión del software”).

    El punto es que los 90 días son la única forma de forzar a las compañías a que corrijan los problemas en el software que publican, y que no pasen años para ello (ocultando la situación a los usuarios en el intermedio).

    Al final, Microsoft podía haber publicado su parche con anterioridad de haberlo querido. Simples juegos de poder.

  • Fernando Díaz

    No seas maligno Google…

  • elmario

    A ver los tipos de Microsoft tiene un bug de seguridad y se dan el lujo de pensar en su “martes de parches”, eso es un claro ejemplo de lo que les importa la seguridad de los usuarios.

  • BestmanPi

    ¿Y que más da?. Todo esto lo hacen únicamente para que hablemos de ellos. Como si nosotros no tuviésemos nuestros propios problemas.

  • Gioviajero

    Cuánta novela..
    Para empezar, Project Zero fue una propuesta de Google, pero fue aceptada por Microsoft?. Quisiera saber quién dio validez oficial al asunto de Google para publicar tales revelaciones. No es que me esté quejando sino que no entiendo algunas cosas; por qué no se revelaron estos datos antes. La autoridad que permitió a Google revelar los bugs debió actuar antes y no dejar que estuviésemos expuestos.

    Como podemos saber si Microsoft realmente arrojó ese parche de seguridad?, además de verlo en los updates del sistema operativo, claro está. Lo que yo quiero es saber el nombre de este parche y hacer la instalación.

  • Eric

    primero que se dediquen a arreglar android y luego critiquen.