Incluso con las críticas de Microsoft, Google vuelve a publicar errores en Windows

La revelación de un error en Windows 8.1 por Google el 11 de este mes hizo que Microsoft no escatimara críticas a su rival. Pero la espinosa relación entre ambas partes está lejos de haber terminado: recientemente, han aparecido detalles sobre otros dos defectos no corregidos.

Nunca es demasiado tarde para recordar que todas estas vulnerabilidades se hicieron públicas gracias al Proyecto Cero, un programa que Google creó en 2014 para reducir la incidencia de problemas de seguridad en Internet.

Para ello, un equipo especializado «busca» los principales defectos de los sistemas más utilizados. La empresa responsable del software es notificada si se ha identificado un problema y, a partir de ese momento, dispone de 90 días naturales para hacer disponible la corrección. En caso contrario, Google revelará públicamente los detalles de la infracción.

Este fue el caso del error reportado el día 11 y de un error reportado antes, a finales de 2014. Lo mismo ocurrió con los dos casos más recientes. El primero, notificado el 17 de octubre del año pasado, tiene que ver con los ajustes de potencia de Windows 7 y, según Microsoft, es tan pequeño que no necesita corrección.

Identificada el mismo día, la segunda falla afecta tanto a Windows 7 como a Windows 8 .x. Esto merece una actualización: el problema hace que el sistema, bajo ciertas circunstancias, no verifique adecuadamente la identificación del usuario en operaciones criptográficas, poniendo en riesgo la protección de cierta información.

Microsoft se puso a trabajar en una corrección que se publicará junto con las que se publicaron el martes pasado (13), pero tuvo que rendirse a corto plazo después de haber encontrado problemas de compatibilidad en la actualización. La consecuencia es la siguiente: los dos defectos alcanzaron el plazo de 90 sin corrección y Google decidió, entonces, hacerlos públicos.

Esta vez, la reacción de Microsoft fue más «comportarse». La empresa explicó que el segundo fallo será corregido en febrero y que su explotación sólo es posible si se utiliza otro fallo no detallado. La empresa también dijo que no tenía conocimiento de ningún ataque relacionado con las vulnerabilidades en cuestión.

El asunto se está volviendo cada vez más controvertido. Hay profesionales de la seguridad que creen que 90 días son suficientes para hacer disponibles las correcciones, mientras que otros creen que el equipo del Proyecto Cero no puede dictar las reglas para no conocer los detalles de cada software analizado.

Como Google ya ha indicado que continuará siguiendo estrictamente los mandamientos del programa, hay quienes apuestan a que Microsoft decidirá, por fin, acelerar el desarrollo de las actualizaciones.

Para mantenerse dentro de los 90 días, la empresa puede tener que publicar estas actualizaciones fuera del «Patch Tuesday» (publicación de actualizaciones de seguridad el segundo martes de cada mes). No es una posibilidad que satisfaga a todo el mundo: en los departamentos de TI de algunas empresas, las actualizaciones «fuera de temporada» pueden aumentar los costes de mantenimiento y el tiempo de inactividad temporal de los ordenadores.

Con información: Arts Technica

Categorías Windows

Deja un comentario