Google ha publicado un exploit zero-day en Windows 10 S, la versión de Windows que Microsoft ha intentado vender como "ultra segura" en gran parte porque no acepta instalaciones de apps fuera de la tienda oficial de la empresa.
Aunque el fallo es de severidad media, fue encontrado en sistemas con Windows 10 que usan Device Guard, una función que justamente restringe el sistema operativo para que ejecute solamente código que esté firmado por los firmantes de confianza, y que se supone hace todo más seguro.
El fallo que fue encontrado por lo que debe ser ya el grupo de investigadores menos favoritos de Microsoft, Google Project Zero, permite a un atacante saltarse la política de bloqueo de Windows utilizando un bug en .NET que permite la ejecución arbitraria de código.
Como ya ha pasado antes, con Microsoft Edge y con Windows Defender, Google encontró la vulnerabilidad y le informó a Microsoft dando los 90 días que ya tienen como estándar para que la empresa solucionara el fallo. Microsoft se quedó sin tiempo (nuevamente) y Google ha hecho público el bug.
A Microsoft se le informó de la vulnerabilidad el 19 de enero y aunque lograron reproducirla el 10 de febrero, pidieron a Google una extensión de 14 días que Google negó. Microsoft pidió nuevamente un periodo de extensión prometiendo arreglar el fallo con Redstone 4, pero también se negó.
Sin duda otra historia para la lista de indignaciones que los de Redmond ya han sufrido gracias a los investigadores de seguridad de Google. Mientras los últimos dicen que es la única forma de que algunas empresas se tomen en serio la seguridad de sus productos, Microsoft cree que es irresponsable y hace daño a los usuarios que Google desvele estos fallos antes de que tengan solución.
Vía | WinBuzzer
En Genbeta | Cómo aumentar el nivel de protección antivirus de Windows Defender
En Genbeta | Windows 10 S "morirá" para renacer en S Mode, una configuración disponible para cualquier Windows 10
Ver 9 comentarios
9 comentarios
lorabe
Ya a Microsoft no se le puede apoyar, lo siento. Y el tema no es que Google sea un santo o no, yo no uso ni su navegador (uso Firefox), ni su correo (uso Protonmail), ni su buscador (uso Duckduckgo), solo Youtube.
Es que no se concibe como una compañía como Microsoft, con tantos recursos, no pueda solucionar en 90 días los problemas de seguridad de su plataforma. No se si sea yo, pero en otros ambientes como... el kernel Linux, se siente más dinamismo.
Usuario desactivado
Cuando el estándar en la industria para la revelación responsable es de 30 días, no hay como ayudarle a Microsoft cuando en repetidas ocasiones y teniendo los recursos que tienen, "se quedan sin tiempo".
Es claro que la seguridad es un ciudadano de segunda para ellos.
eltoloco
Es obvio que no tienen el más mínimo interés en la seguridad de sus productos. Sino no lo arreglarían en 90 días, lo arreglarían en menos de un mes.
Y eso que estamos hablando de Windows S, la versión de Windows que ellos mismos publicitaban como la versión "optimizada para la seguridad" (Streamlined for security):
https://i.imgur.com/60bT3T4.png
bala77
Simplemente la seguridad les importa un carajo ha si ha sido siempre y así seguirá. Y coincido con otro de los comentarios, ya que es más grave aún siendo la versión capada que según ellos es muy segura y por eso la caparon.
Y eso de que pidan prórroga es como si fueran niños de escuela pidiendo tiempo para entregar la tarea. Otras compañías resuelven problemas se seguridad en tan solo días o incluso horas.
jask
No creo que la seguridad les importe poco, pero también creo que habría que conocer un poco más los procesos internos. Es decir, si implementan una solución para una vulnerabilidad X, por detrás se van sacando versiones de SO o del parche para ir testeando por el equipo de QA que eso funciona correctamente que no altera otras cosas del sistema, etc. y probarlo no tiene que ser "moco de pavo".
Creo que si le piden una extensión de unos pocos días a Google no le cuesta dársela, si te dicen oye dame 14 días y no los cumples pues ya lo liberas, y cuando vuelva a pasar y te vuelvan a pedir una extensión de X días le dices que no por no cumplir la anterior. Igualmente esto fuerza a MS a ir "más rápido" lo cual no se si es bueno o malo para el producto en si, ya sabemos que pasa cuando se hacen las cosas de manera rápida.