Noticias

Google pasa de Microsoft y publica otra vulnerabilidad en Windows sin parchear

Publicado el 16 enero, 2015

por

Google «pasa» de las críticas de Microsoft y ha publicado una segunda vulnerabilidad en Windows todavía no parcheada por Microsoft, una vez pasado el plazo de 90 días fijado en las políticas de divulgación de Project Zero.

Las duras críticas del responsable del Centro de respuesta de seguridad de Microsoft, Chris Betz, por la publicación de una vulnerabilidad Zero Day (para la que no se conoce solución) que permitía eventualmente una elevación de privilegios y el control de equipos con Windows 8.1, no ha hecho cambiar las normas de Google en su servicio Project Zero en cuanto a revelar vulnerabilidades encontradas, tres meses después de haber informado a la compañía afectada.

La primera vulnerabilidad ha sido parcheada esta misma semana en el boletín de seguridad mensual pero una segunda presentada retoma la polémica. Dicen desde Google que «Microsoft les informó que esta segunda vulnerabilidad también iba a ser parcheada en el boletín pero tuvo que ser aplazada por un problema de compatibilidad».

La vulnerabilidad reside en el cifrado de memoria de la función CryptProtectMemory. Afecta a sistemas con Windows 7 y Windows 8.1 y no sabemos su alcance y gravedad.

El parche llegará en el boletín de febrero pero Google ha dejado claro que no variará sus políticas de divulgación de vulnerabilidades, estén o no parcheadas. Conviene indicar que Google invierte dinero en Project Zero para encontrar vulnerabilidades en todo tipo de software e informa de ellos a los fabricantes lo que siempre es positivo. La cuestión a aclarar es si lo hace es por el bien de la seguridad de los usuarios o para meter presión a los competidores como criticó el ejecutivo de Microsoft.

El debate continúa. ¿Es una irresponsabilidad de Google revelar vulnerabilidades sin parchear? ¿90 días deberían ser suficientes para que Microsoft parchee este tipo de vulnerabilidades? ¿Google debería esperar a la publicación del parche más allá del periodo fijado o es la única manera que se corrijan en un tiempo determinado? Tú opinas.

Relacionados:Google Microsoft Seguridad Vulnerabilidades

A continuación

Microsoft empieza a desplegar la actualización Lumia Denim

No te pierdas

Cómo los cigarrillos electrónicos se están convirtiendo en dispositivos tecnológicos

Juan Ranchal

Coordino el contenido editorial de MC. Colaboro en medios profesionales de TPNET: MCPRO, MuySeguridad, MuyCanal y Movilidad Profesional.

64 comentarios

Edgar

Es complicado, pero parte lo veo bien, es un tirón de orejas al servició técnico de Microsoft. En principio una empresa tan grande y con tanta facturación debería ser capaz de cumplir el plazo de 90 días.

Si estos dos casos sirven como advertencia y medida de presión a Microsoft y empiezan a tomarse en serio el reporte de vulnerabilidades, invirtiendo más en su servició técnico. Así evitan quedar en evidencia e incluso las demandas de empresas que se vean afectados por estas vulnerabilidades, bienvenido sea.
Xbit

Demanda de Microsoft a Google y se acabo. Google no es nadie para andar haciendo esto que hace, máxime CUANDO MICROSOFT HA DICHO QUE ESTÁN EN ELLO. De lo del Hearthbleed bien que se lo callaron estos de Google eh? panda de hipócritas… tan hipócritas que dejan sin soporte a sus Android mas modernos. Enhorabuena Google, tu si que sabes ser una empresa seria (SARCASMO).
Ignacio Agulló

Se nota que hay guerra entre Google y Microsoft. Pero, cuitas aparte, 90 días son más que suficientes para publicar vulnerabilidades. Incluso he leído alguna noticia en que la Administración estadounidense consideraba 30 días como un plazo límite adecuado.
alberto30

Otra vez Google? otra vez? en serio? te estas pasando de la raya, y algún día te caerás con todo el equipo por ir de chula y NADIE te ayudara, nadie. Apple esta hasta los cojones de ti al igual que MS así que tu sigue así que cuando llegue el día te hundirás del todo y no habrá nadie para apoyarte.
Ah y por cierto, en vez de ir publicando vulnerabilidades de Windows, que tal si mantienes al SESENTA POR CIENTO de Androids sin parches de seguridad? Ah no que eso te da absolutamente igual. Bravo ya veremos si los usuarios de esos Android afectados vuelven a comprarte alguno de tus productos.
Porque yo que queréis que os diga, si fuera uno de los afectados jamás volvería a comprar Android.
juancarlos

Enhorabuena a Google, lo que me pregunto que interes tendrá alguien ver como se explota la vulnerabilidad una vez tiene el parche.

@xbit: oye lo de sarcasmo va porque android es de google y no de tu amado bill gates (a.k.a microsoft), o porque de esos 900mill de bloatwares la mayoria son de los fabricantes. Antes de escribir chorradas sin sentido mejor piensa lo que vas a escribir.
juancarlos

estupidez de comentario & fanboy detected
alberto30

Estupidez ninguna, Google se pasa por el forro el que MS le hubiera pedido mas tiempo para solucionar dicha vulnerabilidad (que puedo entender que no es fácil).
Ah y por cierto Google fanboy detected. Saludos 😉
Xbit

Lo que tu digas bonito 🙂
3Lazaro

Microsoft invierte muuucho mas en marketing que en técnicos o programadores
anonymous

ya conoce el dicho: «guerra avisada no mata soldados», asi que microsoft ponte las pilas
anonymous

ahora falta que microsoft le «devuelve el favor» publicando diariamente las vulnerabilidades de Android para que Google tambien se ajuste el cinturón.
Víctor Moreno Marín

Les hacen un favor y se quejan descaradamente. Más vale que comiencen a hacer las cosas bien, de verdad. Bienvenidos sean esos jalones de oreja desde el Project Zero.
Mark

ya lo he dicho antes ms: A TRABAJAR!!!!
Xbit

Si empiezan asi entre todas teerminan nunca xD
juancarlos

antes de que microsoft le devuelva el regalo de los parches mejor que se dedique a mejorar las fonts y demas cosas por las cuales ellos se llevan un gran pellizco
Ergeo

Faltan datos, no por parte de MuyComputer, sino en todo este lío, me parece bien que Google tenga a un equipo buscando errores en software ajeno al suyo, pero Windows no es de código abierto, ¿no se supone que para revisar el código de Windows deberían de tener un permiso/licencia o algo por parte de Microsoft?.

Y si no, que Microsoft cree su Project Zero y a anunciar las vulnerabilidades de Android y Chrome OS que tienen para rato xDD

Pero sin duda lo mejor sería que lo hablasen para no publicar las vulnerabilidades antes de ser corregidas, y si no pues por las malas como han dicho ya otros, se les demanda y listo.
IntForce

Esto es un buen indicativo de que Google tiene miedo…

Windows 10 promete y mucho además está generando altas expectativas en usuarios y fabricantes, el año anterior las PC con Windows alcanzaron el precio de los Chromebooks este año con Windows 10 y las mejoras que este trae prometen poner en aprietos el intento de Google por entrar al escritorio, Google intenta a la mala bajar esas expectativas pero mejor deberían corregir Android 5.0 que bastante mal les ha salido y enriquecer la bazofia de Chrome OS, bien dicen por ahí…

“No mires la paja que está en el ojo ajeno, sino ve la viga que está en tu propio ojo”
Xbit

A eso agrega que irónicamente se están lanzando ladrillos sobre su propio tejado xD no hay mas ciego que el que no quiere ver xD (tarde de frasecitas jajaja).
David Salazar

ajajaja Goolge si le gusta joder parece el propio niño malcriado q cuando no tiene lo q quiere o no le sale las cosas como quiere, empiesa a molestar a los demass ya llorar ajajajaaja…
David Salazar

Me parece q google es el q mas esta dando la guerra xq le esta llengo muy mal ultimamente….
anonymous

eso me pregunto yo, como hace google para descubrir cuales son las vulnerabilidades que detectan? tienen acceso a los codigos?, como los consiguio?, esta muy sospechoso esto.
anonymous

google esta en todas la internet, es onmipresente, es el dios del internet, nadie lo puede demandar, sopena de ser borrado de la red para siempre
isorfe

En la otra noticia defendí un punto de vista en el que básicamente le echaba la culpa a ambos. Visto esto, me retracto. En este caso, si el parche iba a ser incluído ya pero no se hizo porque no cumplía las condiciones necesarias y se tuvo que aplazar, me parece claro que Google se ha pasado de la raya al publicarlo.

Eso si, espero que el compromiso de Microsoft con sus clientes implique que publicarán el parche en cuanto estea listo y no esperen a la próxima ronda de actualizaciones para sacarlo, si no, pierden parte de la razón y ahora mismo la tienen toda.
menxo

al menos tu diste una opinion (acertada)

el otro solo se quejo de tu comentario. no sabe como apoyar la actitud de google (que se asemeja a la de una chica que le quiere robar el novio a la amiguita)
menxo

cuando uno se queja de la de alguien y hace lo mismo como se llama? se llama cinismo. google es cinica quejandose del soporte tecnico o de si microsoft esta corrigiendo o no el problema cuando google ni hace nada por android ni por su tienda de apps.

google habla de irresponsabilidad? primero que atienda sus propios problemas en vez de estar queriendo ver como calumniar a otras compañias.
alberto30

jajajaaj buena comparación, si señor xDDD
Adrian

En principio no dice que revisen directamente el código. Solamente prueban el producto.
En segundo lugar no creo que Microsoft esté en condiciones de demandar ya que es un error de ellos. Los únicos que estarían en condiciones de demandar aquí son los usuarios afectados a la propia Microsoft por no dar un servicio de seguridad adecuado.
Adrian

Pero demanda en base a que?
Si yo publico que tal marca de vehículos está teniendo un problema en sus frenos (con adecuada evidencia) sería justo que esa empresa me demande?
Quizás está demás que se de demasiadas instrucciones de como explotarlo, pero hombre, le dan un plazo razonable para corregirlo!
Adrian

Pero por que te enojas tanto con Google y con Apple en lugar de reclamar a Microsoft que se tome mas en serio estos problemas de seguridad?
Xbit

XD
Nillo

Jajajajajajaja, te confundes, esa es Apple.
Nillo

Es que es de chiste, siempre va a hablar el menos indicado.
salsa

Yo creo que Project Zero está mal, pero, si así ya son dos las vulnerabilidades que se han hecho públicas, entonces está peor Microsoft al no implementar un proyecto similar a Project Zero para su propio bien. 90 días es más que sificiente para parchar una vulnerabilidad, carajo, si quieren que migremos cada dos/tres años de sistema operativo, por que ellos piden más tiempo para tapar sus errores?
salsa

Tienes razón, en lo que invierte MS es en contratos con empresas fabricantes de HW
Ergeo

Cierto, han probado la función, y se han dado cuenta de que tiene un error de diseño, pero no es una vulnerabilidad zero day, ni crítica, por lo que es mas complicada de solventar que otros errores, por lo que me parece feo que en Project Zero operen así, la cosa es que automáticamente al pasar 90 días ellos liberan toda la información sobre el error y su ejecución para que todo el mundo lo vea, ese es el problema, sabiendo que arreglar errores en un software tan extendido como Windows es delicado, ¿no se les ocurrió hablarlo directamente con Microsoft, aportar soluciones, en vez de dejarles con el culo al aire, y ser los usuarios los que salgamos perjudicados en todo esto?.
Esteban

Google tiene android con serios bugs de seguridad que tardan mucho mas que 3 meses en ser parcheados en el 5% de los android (Me refiero a que solo parchear las nuevas verciones) y encima ponen al descubierto fallas de sistemas que no deberian ni ser su prioridad, que primero arreglen sus problemas
sergio

jajaja por eso uso linux
sergio

promete que es lo que promete todo lo que va a implementar ya esta en funcionamiento en linux android yo no vi que hiciera nada nuevo mas que sacar es interfaz de 4 de el escritorio lo mejor después de xp fue el 7 vos fíjate que ellos mismos atentan contra sus sistemas
jose29354 .

no espero el momento de instalar windows 10
Tengu tenshi

nunca hay pan que por miedo podrido una lechuza comera, a la rueda , la rueda de san miguel, que se mueran los hamsters de pie -platon
Tengu tenshi

algo es seguro, linux, ya existía antes de google, android es simplemente como mac os,google solo hizo un buscador y compro empresas incluyendo la que desarrollo android ,despues con su dinero han contratado exelentes programadores,linux ya estaba antes , ya era robusto y nada tiene que ver con google, por que su chrome os ,apesta y feo ni aunque me regalaran una la quiero
Tengu tenshi

aun recuerdo cuando google era una empresa a la cual admirar, ahora solo elon musk se salva, dont be evil mis !»»$%
warex3d

Google glass ha sido un fracaso, las chromebooks están decayendo en ventas. Lo único que le queda a Google es trolear a Microsoft y tratar de dañarle la imagen. Google debería invertir esos recursos en su propio android.
warex3d

Que idioma es el que estas usando para intentar comunicarte? XD
warex3d

Y esos datos de donde los obtienes? O simplemente te los acabas de inventar?
Tengu tenshi

bajale de velocidad a tu tren campeon , sabes las cosas que google aka mini satanas esta haciendo ? la mayoria de sus libros de la store los esta copiando sin pagar licencias a los autores,simplemente obtienen documentos y escanean sin permiso en dado caso que tengan licencia y el autor se de cuenta solo le dan una miseria ,el fan boy aqui eres tu que te niegas a ver la oscuridad por que te cegaron los faroles que tienen
Tengu tenshi

y tu que te fumas ? por que quiero
Tengu tenshi

lol bill gates no es microsoft hace años solo es dueño del 4 por ciento de activos , en el auge del pc su economía creció después se dedico a la caridad y dejo su puesto ,en esta época gates se dedica a patrocinar invenciones y patentes para el futuro, leíste de la planta que puede procesar deshechos humanos , y obtener agua potable ?
Leonmafioso

Es de fanboy reconocer que telefonos de Microsoft Windows phone lanzados en octubre de 2012 tienen soporte tecnico, mientras que vemos otros que al año ya no brindan soporte por haber salido un modelo superior? Pues si es así Prefiero ser un fanboy y prefiero que Microsoft siga presionando a los fabricantes de celulares con la actualizacion a Windows 8.1 y posiblemente la actualizacion a Windows 10.
Leonmafioso

La idea de las patentes de Tesla motors es que al permitirle a la competencia acceder a sus diseños, los precios bajarían, obligarían a las compañias de baterias a reducir precios de elaboracion, con lo que los precios de los vehiculos se reducirían mucho.
Bioacler

¡Muy mal! Enserio?
Bioacler

¡Enserio! No entiendo, ¿Nadie se queja cuando se publican vulnervilidades de android a raja tabla?

Dejen de ser fanáticos y aprendan hacer informaticos.
Menuda estupides discutir por una compañía que ni eres empleado, sabrá el tiempo que tienen esas vulnerabilidades y microsoft caso omiso.

Yo lo veo como algo positivo, mas presión mas rápido se resuelven. 😀

Por cierto! Sigan augurando muerte de google, ja ja ja ja ja .
juancarlos

claro que si microsoft «presionando» a los oems para que vendan, más bien regalan las licencias/software para que nadie se vaya.
Santi

Jaja estos de gogle. Si del amor al odio hay un paso al contrario igual no?
Lo jodido es que con tantos programadores e ingenieros que debe tener microsoft alrededor del mundo no le basten 90 días. Pero bueno sus motivos tendran. Esperemos que no siga google sacado mierda que al final va ser un coladero…
Guest

claaro que si campeon…
http://myreactiongifs.com/gifs/nicolascageconfusedemotions.gif
Leonmafioso

Claro, porque google no hace lo mismo ¬¬ por que google no presiona a las empresas a que usen una versión actualizada en sus teléfonos? Lo lamento pero Entre Microsoft, Apple y Google, prefiero el soporte de Microsoft y después el de Apple.
XLOLX

» la mayoria de sus libros de la store los esta copiando sin pagar licencias a los autores»
Dame una fuente fiable y te creeré.
anonymous

lo siento, ya no me queda XD
David Salazar

yeeesss
R3is3rsf

Yo creo que lo hace por joder nada mas. Pero ya en serio que hagan lo mismo con todos los sistemas , seria mas divertido asi, ver que tal le va a otros desarrolladores intentando parchear en 90 dias antes que revelen la vulnerabilidad.
MaximoGeek

NO digas eso, que ya va a salir el linuxtard de turno a joder con que si lo parchan al rato, que sin hay miles de ojos en el código de Linux y demás mierda intragable.
MaximoGeek

Este tipo de mamadas, será que Google se está muriendo de hambre? Realmente que asco de compañía.

Googletards o simplemente gtards con el denominativo de desarrolladores ardidos en 3.. 2.. 1..
Tengu tenshi

Claro que si busca
Google y el cerebro mundial
La historia del proyecto más ambicioso jamás concebido en Internet. En 2002, Google comenzó a escanear millones de libros, en un intento de crear una enorme biblioteca global que almacenara todos los libros existentes. Pero tuvieron incluso una propuesta mejor: crear una forma mayor de inteligencia, como ya había previsto HG Wells en su ensayo de 1937 “El Cerebro Mundial”. Pero más de la mitad de los libros escaneados tenían derechos de autor, y autores de todo el mundo lanzaron una campaña para parar a Google, que culminó en los juzgados de Nueva York en 2011. Una película sobre los sueños, los dilemas y los peligros de Internet
Limbert

Google se esta convirtiendo en la vieja Microsoft y ahora Microsoft se esta convirtiendo en la nueva Apple revalorada.