Google “pasa” de las críticas de Microsoft y ha publicado una segunda vulnerabilidad en Windows todavía no parcheada por Microsoft, una vez pasado el plazo de 90 días fijado en las políticas de divulgación de Project Zero.
Las duras críticas del responsable del Centro de respuesta de seguridad de Microsoft, Chris Betz, por la publicación de una vulnerabilidad Zero Day (para la que no se conoce solución) que permitía eventualmente una elevación de privilegios y el control de equipos con Windows 8.1, no ha hecho cambiar las normas de Google en su servicio Project Zero en cuanto a revelar vulnerabilidades encontradas, tres meses después de haber informado a la compañía afectada.
La primera vulnerabilidad ha sido parcheada esta misma semana en el boletín de seguridad mensual pero una segunda presentada retoma la polémica. Dicen desde Google que “Microsoft les informó que esta segunda vulnerabilidad también iba a ser parcheada en el boletín pero tuvo que ser aplazada por un problema de compatibilidad”.
La vulnerabilidad reside en el cifrado de memoria de la función CryptProtectMemory. Afecta a sistemas con Windows 7 y Windows 8.1 y no sabemos su alcance y gravedad.
El parche llegará en el boletín de febrero pero Google ha dejado claro que no variará sus políticas de divulgación de vulnerabilidades, estén o no parcheadas. Conviene indicar que Google invierte dinero en Project Zero para encontrar vulnerabilidades en todo tipo de software e informa de ellos a los fabricantes lo que siempre es positivo. La cuestión a aclarar es si lo hace es por el bien de la seguridad de los usuarios o para meter presión a los competidores como criticó el ejecutivo de Microsoft.
El debate continúa. ¿Es una irresponsabilidad de Google revelar vulnerabilidades sin parchear? ¿90 días deberían ser suficientes para que Microsoft parchee este tipo de vulnerabilidades? ¿Google debería esperar a la publicación del parche más allá del periodo fijado o es la única manera que se corrijan en un tiempo determinado? Tú opinas.