Google estrenó el pasado verano un ambicioso proyecto bautizado como Project Zero que incluye a un equipo de especialistas en seguridad que trabajan para localizar vulnerabilidades en software de terceros, informando de las mismas a los respectivos desarrolladores para que emitan el parche correspondiente.

Este equipo fue el que descubrió esta vulnerabilidad en las versiones de 32 y 64 bits de Windows 8.1 que permite una elevación de privilegios.

Google informó a Microsoft de esta vulnerabilidad el 30 de septiembre y bajo las políticas de divulgación de Project Zero comunicó al gigante del software que la haría pública en 90 días.

Pasado el plazo, Google ha publicado la vulnerabilidad como había advertido lo que ha provocado el debate el la Red de redes. ¿Debería Google haber esperado hasta que Microsoft parcheara la vulnerabilidad? ¿Es un plazo razonable? ¿Debería Microsoft haber parcheado la misma en esos 90 días?

No es la primera vez que esto sucede. En la mayoría de ocasiones, los investigadores de seguridad cansados que no se parcheen las vulnerabilidades encontradas publican las mismas precisamente para “forzar” su corrección.

Fuente: muyseguridad