Ya conoces el caso. Los especialistas de seguridad de Google descubrieron una vulnerabilidad en las versiones de 32 y 64 bits de Windows 8.1 que permite una elevación de privilegios. La vulnerabilidad es de “día cero”, es decir no se conoce solución.

Google informó a Microsoft de esta vulnerabilidad el 30 de septiembre y bajo las políticas de divulgación de Project Zero comunicó al gigante del software que la haría pública en 90 días.

Pasado el plazo, Google publicó la vulnerabilidad como había advertido lo que provocó ya un amplio debate en Internet. Por un lado la tardanza de Microsoft en parchearla y por otro, la publicación de Google que permitía ataques a los usuarios antes de haber creado la solución.

Microsoft ha respondido oficialmente al caso a través del responsable del Centro de respuesta de seguridad de Microsoft, Chris Betz, quien comenta: “Quienes están a favor de la divulgación pública creen que este método empuja a los proveedores de software para corregir las vulnerabilidades más rápidamente y hace que los clientes desarrollen y adopten medidas para protegerse. No estamos de acuerdo. Es una presión indebida en un entorno técnico complicado que necesita evaluar plenamente el potencial de la vulnerabilidad y diseñar un parche en un entorno de amenazas más amplio”.

Betz explica que pidieron específicamente a Google la retención de la información hasta que publicaran la solución en el martes de parches mensual y ampliando el plazo oficial del Proyect Zero. “Cualquier persona involucrada en el desarrollo de software sabe que responder a las vulnerabilidades de seguridad puede ser un extenso, laborioso y complejo proceso y por ello instamos a Google a hacer de la protección de los clientes nuestro principal objetivo colectivo.

Sin duda hay debate porque casos como este se han repetido y se repetirán en el futuro y los clientes merecen una respuesta coordinada.

 

Fuente: muyseguridad