Una vez más Google vuelve a estar en el ojo del huracán por la forma tan agresiva en la que desvela las vulnerabilidades de otras empresas a los pocos días de reportárselas y sin darles apenas tiempo para solucionarlas. La última víctima ha sido Microsoft, ya que esta madrugada ha expuesto una vulnerabilidad crítica de Windows 10 y Flash.
Se trata de un bug en el kernel de Windows que puede ser utilizado para eludir la seguridad del sistema a través de otro bug de Flash. Google le reportó la vulnerabilidad a Microsoft el pasado día 21, y aunque Adobe la solucionó a través de una actualización de Flash el día 26, Microsoft todavía no la había implementado en Windows 10. Además, la empresa del buscador se ha puesto una medalla diciendo que Chrome bloquea esta vulnerabilidad.
Google indigna a Microsoft
En el blog de seguridad de Google podemos leer la siguiente descripción de la vulnerabilidad:
La vulnerabilidad de Windows es una escalación del privilegio local en el kernel de Windows, que puede ser usado como para escapar de la seguridad definida por el sistema. Puede dispararse a través de una llamada del win32k.sys, particularmente la NtSetWindowsLongPtr().
¿Y por qué no ha querido esperar Google a que Microsoft reaccionase antes de exponer la vulnerabilidad? Pues porque según la empresa del buscador habían detectado que estaba siendo explotada activamente.
Desde Microsoft al principio no quisieron decir nada, pero poco después contestaron a un correo de VentureBeat notablemente indignados:
Creemos en una divulgación coordinada de vulnerabilidades, y la revelación de hoy de Google pone a los usuarios en una potencial situación de riesgo. Windows es la única plataforma con un compromiso con el cliente para investigar los problemas de seguridad detectados de forma proactiva y actualizar los dispositivos afectados tan pronto como sea posible. Recomendamos a los usuarios que utilicen Windows 10 y el navegador de Microsoft Edge para una mejor protección.
Como hemos dicho, para que nos afecte esta vulnerabilidad de Windows 10 hace falta explotar también la de Flash, la cual ha sido ya solucionada. Por lo tanto, para no correr peligro es recomendable asegurarse de tener la última versión de Flash instalada en el ordenador y estar atentos a la próxima que lanzará Microsoft para Windows 10, que previsiblemente será dentro de poco.
Vía | Google online Security
En Genbeta | Los 90 días de plazo del Project Zero de Google traen de cabeza a medio Mountain View
Ver 32 comentarios
32 comentarios
acerswap
Es una actitud que ya causo problemas hace tiempo: o lo resuelves ahora o lo divulgamos para que cualquiera pueda explotarlo. Denota una falta de etica tremenda, no eres quien para atacar a otra compañia asi (y de paso poner en peligro a sus clientes, que tambien pueden ser tuyos) y tampoco tienes por que marcar la agenda de los demás.
atoi
Cuando un equipo de seguridad encuentra una vulnerabilidad en Linux/FreeBSD/OpenBSD, normalmente lo publica en el momento, la misma se corrige en uno o dos días, y tarda unas horas más para estar disponible en las distribuciones serias. Ahora Google le da nueve días a Microsoft antes de divulgar y todos pierden la cabeza.
Leí por ahí que otros se quejan de que no hubo tiempo de entregar los parches, pero las ventanas de actualización se usan para vulnerabilidades menores, las críticas siempre se entregan en el momento.
kikke
Google lo que hizo fue notificar en su blog que ellos ya habían solucionado una vulnerabilidad de Windows que podría afectar a Chrome cuando se usara Adobe Flash. Tanto Adobe como Google parchearon la vulnerabilidad para sus productos, que MicroSoft tarde para hacerse la víctima es otra historia.
Ale
BASTA de adobe flash.
nyck
Si con esto Google quiere mejorar la seguridad de los usuario de Internet, creo que lo esta haciendo mal, pero si quiere joder a Microsoft, lo esta haciendo de maravilla.
arquimaes
Microsoft se queja porque siempre desvelan estas vulnerabilidades antes del Patch Tuesday correspondiente. Si Google sacara las actualizaciones el primer viernes de cada mes y Microsoft publicara algo parecido una semana antes también se indignarían.
Usuario desactivado
Si Microsoft no es capaz de parchear una vulnerabilidad crítica en 9 días, Google ha hecho bien.
No estamos hablando de 4 voluntarios manteniendo un repo en github en su tiempo libre, es el puto Microsoft, son 9 putos días!
Seamos serios, debería darles vergüenza siquiera abrir la boca para quejarse. Y encima con su producto estrella, que no estamos hablando de versiones antiguas, ni de Edge que a nadie le importa un pito. Es Windows 10! En fin, y la gente se traga el rollo victimista jajaja. En manos de quién estáis...
sxentinel
Tu respuesta tiene un pequeño fallo, google no ha revelado nada que no se estuviera usando ya.....
Edito, el mensaje era una respuesta al mensaje #8 del usuario nyck
adrianmadu
Me meo con lo que leo que si google deberia haber ocultado la vulnerabilidad decis jajajaj: No se si habeis estado en alguna conferencia de programadores o seguridad informática pero alli los programadores muestran muchas de las vulnerabilidades que han descubierto y explican como se explotan en conferencias publicas y en muchas ocasiones retransmitidas por internet.
Quiere decir eso que esten ayudando a los delincuentes? NO La responsabilidad es del desarrollador que debe mantener seguro su software. Evidentemente se avisa al desarrollador y se le da un plazo para resolverla (que por lo general no es muy largo) y pasado ese tiempo, se revela independientemente de si se ha solucionado o no porque también representa un prestigio para el programador y mucho tiempo de trabajo haber encontrado la vulnerabilidad. Las grandes empresas tienen divisiones enteras dedicadas a esta labor (si, microsoft tambien) que buscan vulnerabilidades en los productos de la competencia y en los suyos propios. De esta manera los usuarios obtenemos productos mas seguros aunque en algunas ocasiones como esta el "prestigio" de una empresa pueda resultar dañado.
vikingogenio
"Windows es la única plataforma con un compromiso con el cliente para investigar los problemas de seguridad detectados de forma proactiva y actualizar los dispositivos afectados tan pronto como sea posible." que os den por c***!!!! yo aun no recibí la actualización del Aniversary Update... asi que esto es una patraña!