Microsoft, Google, y el bug de la discordia

el punto es que no muchos bugs no son descubierto... ¿por qué el sistema es muy bueno o por qué no hay supervición calificada sobre el módulo en particular [los no populares]?

Pues pasate por xataka Android y lee el articulo de que Google dejara tirados a todos los usuarios que no tengan kitkat.. Bien bien.. Tanto chulear y resulta que Google no tiene personal suficiente para cubrir la seguridad de esos terminales.

Chrome OS puede acceder a la tienda Google Pay. El centro de toda la basura de Android. Hay grandes aplicaciones, está claro, pero también hay muchísima basura y es la culpable de muchos problemas de seguridad.

Si Linux es seguro es simplemente porque no tiene extensión como para crear virus. Lo mismo que pasa con OS X. Existen virus para ellos? Claro que si, pero no merece la pena. Si Linux tuviera la misma cuota de mercado de Windows......

No viste la seguridad de Windows Phone frente a Android e iOS hace unos meses? Fue el único que aguantó...

Está claro que Microsoft se tiene que poner las pilas en el tema de seguridad y ni mucho menos estoy defendiéndole, cosa que tu amigo Tony está siempre igual.
Pero yo solo veo el mal gesto de Google en este caso. Está clarísimo que lo ha hecho con mala intención.

Súper seguro?? Jajajaj.. Si hasta te aconsejan instalar un antivirus en tu móvil... Por favor.. Seamos objetivos..

Voy a ignorar tu primer párrafo, como si la tienda de WP no estuviera llena de basura.

La seguridad de Windows Phone, el único que aguanto, también que menos interés tiene.

Eventos de hackero del Pwn20wn:
5 Eventos de hackeo Android
1 Solo evento de hackeo para WP.

Puedes mirarlo tu mismo si quieres esta en la pagina de HP.

Google ciertamente podría haberse esperado un par de días, pero sigue una política que para algo están. Y te recuerdo que el gesto de Google también incluye haber mejorado la seguridad de Windows.

Google OS?? Lo que hay que leer ... XD XD XD

El derecho?? Pero de que vas... Pero quien es Google para decidir lo que se debe o no hacer público?

Google que se preocupe de sus propios problemas de seguridad, de manipulación, de espionaje al usuario... Es lo que tiene que hacer.

Es sucio porque le pidieron un par de dias mas ya que microsoft siempre suelta las actus los martes o miercoles o algo asi, no por el hecho de los 90 dias, mezclas la norma con el caso particular del que estoy hablando

Ah, entonces todos hay que agradecerle a por google su noble acción.

Con toda la fragmentación de Android y la forma de distribuir las actualizaciones está claro que Android tiene que ser un coladero de dimensiones considerables. Por mucho que solucionen, o que intenten solucionar, no está garantizada que esa actualización llegue a todos los usuarios.

Pues eso mismo. Y se hacen públicos todos esos agujeros?? No.

Por lo que queda claro que aun sabiendo que el parche iba a salir al cabo de 92 días y no 90, Google lo hizo con mala intención. Sin pensar en el usuario.

¿Google tiene principios?

Acaso se hacen publico todos los agujeros que Microsoft encuentra en Windows? No verdad? Pues ya esta, es lo mismo.

Acaso Microsoft corrije con el mismo plazo de tiempo los fallos que ella encuentra? la respuestas es no, porque como saben que se hará publico nunca.

Si Microsoft no vio el fallo y Google lo encontró y les dieron un plazo para corregirlo antes de publicarlo, según las politicas del Project Zero (como hacen con todos los bugs), es problema de Microsoft, te espabilas como puedas en adaptarte al plazo.

Acaso cuando tienes que entregar un examen puedes pedirle a tu profesor unas horas más?

Ahora resulta que Google es el REY y hay que hacer lo que él diga.

Lo que hay que leer. Hoy día lo que hay que hacer es colaborar entre las empresas y mirar por el usuario y dejar los intereses personales en estos casos. Google ha ido claramente a intentar dañar la imagen de Microsoft.

¿Desde cuando Google tiene la autoridad de un profesor?

Un profesor se supone que es alguien que va a evaluar tus capacidades por peticion tuya y por tanto aceptas unas condiciones en que se hara una evaluacion.

En este caso es mas como un caso de extorsión. Tengo algo que te perjudica y quiero que hagas algo y lo hagas a mi modo y en mis plazos o tendrás problemas.

Extorsion? Lo flipo, se comunica al interesado y dan el plazo que dan a sus bugs, tenemos nuestra política de publicación de errores, así que es muy probable que sea un sistema automatizado, lo mismo que el sistema de Microsoft de parchear los martes, lo es.

No es la primera vez que a Microsoft,le pasa. Le comunican un error de bulto y por la razón que sea, no se soluciona hasta un martes y no siempre el siguiente, sino más allá. Aquí el error lo tiene Microsoft con su política de parches.

Y por cierto, más tiempo que no se comunica el error públicamente, peor. Porque se te puede acusar de obscurantismo (junto a Microsoft) y si alguien lo aprovecha (si en el mundo hay mucha gente que sabe de informática y no siempre con buenas intenciones y si lo ha descubierto Google, seguramente no sea el único, el tiempo siempre corre en contra), demanda al canto, así que no,no es extorsión, se están cubriendo las espaldas jurídicamente hablando. Y tener un plazo que siempre cumplen, ayuda mucho a evitar demandas, que se os olvida que es EEUU, allí se demanda todo.

Donde comparo a Google con un profesor? un profesor exige. Google le dio a Microsoft 90 dias, los mismos 90 dias que les da a todo el mundo porque siguen unas politicas, no son 3 meses porque es Microsoft y nos caen mal.

Microsoft estaba advertida de que tenia 90 días, no ha podido? pues es problema suyo. De la misma forma que cuando haces un examen tienes un tiempo y se te agota y no has podido es problema tuyo.

Que tal si por meter el pie en el acelerador terminas causando un daño más grave?

Microsoft tiene una agenda de actualizaciones bastante específica, Google podía haber avisado dos días después para que se cumplieran los 90 días a cabalidad, pero no lo hicieron, porque ya estaba todo planeado.

Se jode el usuario, por supuesto, pero un apunte crack mientras que microsoft controla windows (si como fabricante lo instalas, el usuario final seguira teniendo soporte de microsoft) android no es asi. La unica comparacion son los nexus, que siguen dependiendo de gooogle, que tu galaxy patata no se actualice es culpa de samsung. Y por poner un ejemplo, google saco una version menor de android para arreglar heartbleed y seguro que hay moviles sin esa actualizacion pero es culpa de sus fabricantes, a los nexus llego. Es otro modelo de negocio, no es comparable.

Y no defiendas a microsoft, google les dijo desde un principio que en 90 dias eso era publico y que lo arreglaran, tuvieron tiempo de sobra

Que Google no controla android?? Por supuesto que si. Google es quien lanza las actualizaciones y es quien decide que terminales se actualizan y cuales no. Otra cosa es que las marcas instalen su propia basura en sus terminales.. Tantos defender android y solo es un comedero de cabeza. Mi madre está hasta la narices de su Samsung.

Eso es mentira, un samsung no actualiza porque samsung no lanza la actualizacion y punto y lo decide el fabricante lo creas o no. Hablando de vulnerabilidades gordas yo tuve la experiencia con heartbleed que en menos de 90 dias estaba arreglada en el codigo fuente de android y distribuida a los nexus. Google NO puede enviar actualizaciones a los moviles, creete lo que quieras, pero es otro modelo, no es como windows.

Por eso digo que es un poco sucio.
Lo que seguro sucedio, que se siguio el proceso estandar:
encuentro bug, aviso a la empresa responsable, con la documentacion y aviso de los 90 dias, recibo confirmacion de la otra parte y cierro el ticket, a por otro bug.
El sistema a los 90 dias automaticamente hace publica la entrada en la pagina y fin

jaja si, 90 días fue suficiente, además, los crackers no van a esperar a que MS le de la regalada gana de arreglar el problema. De hecho 90 días me parece una eternidad, cuántas personas se pueden ver expuestas a problemas en ese tiempo.
Por otro lado, seguro que es una pequeña venganza por la campaña scroogled, seguro les supo calientito el plato XD.

Tampoco es que Windows tenga sólo una vulnerabilidad. Al recibir el informe de Google, Microsoft debió evaluar la información y juzgar la prioridad que tenía el fallo frente a otras vulnerabilidades descubiertas, cada mes Microsoft publica revisiones de seguridad críticas, si no lo resolvieron en seguida fue claramente porque tenían otros problemas más graves que debían solucionarse primero.

Microsoft trabaja a su propio ritmo, Windows corre en tantas combinaciones de harware distintas que tienen que realizar una y mil pruebas hasta que salga bien (y aún así, algunas han salido rana), de este exploit no sabía nadie, hasta que Tío Google metió las narices con su equipo rastreador de vulnerabilidades, buscándole otra pata al gato.

Y así como fueron capaces de soltar semejante burrada, poniendo en riesgo al 15% de usuarios de Windows, dudo de que hayan avisado a Microsoft 90 días antes, se nota la mala intención, se aprovecharon de la agenda de Microsoft para tomarlos en curva y hacer daño.

3 meses es un plazo enorme se mire como se mire. Se supone que Microsoft no tendrá becarios para arreglar estos fallos.

Mi pregunta es por qué el plazo de 90 días no parece lógico y lo de esperar al martes si? Por lo que sabemos, este martes se corrige la situación, pero no sabemos desde cuando Microsoft tiene la actualización. Solo que la tiene lista entre el segundo martes del pasado mes y este. Y hablamos de una vulnerabilidad Zero Day, eso solo se resuelve parcheando. Así que Microsoft debería cambiar su política de actualizaciones y liberarla cuando esté lista, no cuando sea tradición hacerlo, puesto que puede ser una gran diferencia si ha sido aprovechada.

Si la solución esta lista, y va a ser sacada el segundo martes como es tradición y te lo han comunicado a ti, si sacas la vulnerabilidad al escaparate público 2 días antes es que, para empezar tienes mala leche y segundo te importa un mojón la seguridad.
La solución ha sido encontrada, lo que no va a cambiar Microsoft es una tradición de años (segundo martes de mes) por una mierda de proyecto Project Zero de una empresa privada que dicen que lo hacen por la seguridad de todos y que yo me tengo que comer con patatas porque ellos lo digan, sino soy una empresa de mierda insegura. Es cómo cuando el Corte Inglés ayuda a Caritas con donacioines y luego paga 700€ a sus reponedores.

¿Y porque Microsoft debe hacer caso a Google?

que no haga caso, project zero anuncio desde que fue creado que da de plazo 3 meses 90 días si la empresa no responde se publica toda la info y punto

¿Y porque no 100 días? ¿o 4 días? ¿Que ley ancestral dice que debe ser 90 días? Publican la info cuando ya se ha comunicado que se ha resuelto y se va a parchear, vaya asco de project zero no??

Si hacer publicas vulnerabilidades que no eran publicas en vez de limitarse a informar a las empresas es mejorar Internet apaga y vamonos.

"en vez de limitarse a informar a las empresas" 3 meses hace que Microsoft esta al corriente.

Si no dieran plazo de tiempo, te recuerdo que tu PC aun seguiría expuesto porque Microsoft no se sentiría presionada por ningun lado.

Y cualquier administrador de una empresa te dira lo mismo.

Descubrirlo es una cosa, decir como se explota es otra, y publicar como sacar provecho a los 4 vientos es otra. Google debe dedicarse arreglar Android y no andar sacando 5.0, 5.0.1, 5.0.2, 5.0.2.2 que se pongan serios y dejen de hacer meros cambios esteticos

Jajaja. No.

Esa política "absurda" tiene su razón de ser, dan suficiente tiempo a que todos los equipos estén actualizados antes de la siguiente "tanda" (no todo el mundo tiene 100 megas de conexión), además no es nada fácil hacer que todo te funcione a la primera con 1638475742 de combinaciones de hardware distintas, además de estudiar el impacto que podría tener el bug y si ya había otros más graves en cola que también debían ser solucionados.