Microsoft califica la divulgación del exploit de día cero de Windows de Google como "decepcionante" y deliberadamente no menciona miles de millones de teléfonos Android sin parches.

Icono de tiempo de lectura 4 minuto. leer

Icono de calendario Publicado el 1 de noviembre.

Publicado en 1 de noviembre.

Los lectores ayudan a respaldar a MSpoweruser. Es posible que obtengamos una comisión si compra a través de nuestros enlaces.

Google reveló recientemente una vulnerabilidad de día 0 sin parchear en Windows después de solo dar a Microsoft 7 días desde la notificación para lanzar un parche.

Esto dio como resultado que la información sobre el hack se publicara antes de que Microsoft pudiera desarrollar un parche, poniendo en riesgo a mil millones de usuarios de Windows.

La excusa de Google fue que el agujero ya estaba siendo explotado activamente, pero en una respuesta hoy, el vicepresidente ejecutivo de Microsoft, Windows and Devices Group, Terry Myerson, defendió a Microsoft y expresó su decepción por el comportamiento de Google.

Microsoft explicó que los exploits en la naturaleza eran los llamados ataques de "spear-phishing", es decir. enviado a personas específicas en un volumen bajo, en lugar de distribuirse ampliamente al público en general.

Además, los usuarios de Microsoft en la última versión de Windows 10, la actualización de Windows 10 Anniversary, que también usan Edge, ya estaba protegida. Debido a los esfuerzos de Microsoft para forzar la implementación de actualizaciones, ahora claramente demostrado que es una buena idea, el 76% de los usuarios de Windows 10 ya tienen la última versión, según los datos de AdDuplex.

Terry dijo que Windows era la única plataforma con el compromiso de investigar los problemas de seguridad informados y actualizar proactivamente los dispositivos afectados lo antes posible y dijo que ya se estaba probando un parche para su lanzamiento el 8 de noviembre, es decir, el martes de parches.

Por implicación, Terry, por supuesto, sugirió que Google no se tomó su responsabilidad con los usuarios de Android con la misma seriedad, con un gran porcentaje de usuarios de Android en versiones anteriores del sistema operativo que no tienen ninguna actualización del sistema operativo.

Además, los usuarios de Windows pueden notar que Edge ofreció una defensa en profundidad al implementar medidas de integridad de código y otros procedimientos de seguridad que claramente no practica el navegador Chrome de Google.

Microsoft recomendó que todos los clientes actualicen a Windows 10, calificándolo como el sistema operativo más seguro que jamás hayan creado, completo con protección avanzada para consumidores y empresas en cada capa de la pila de seguridad.

La visión de Microsoft de mil millones de usuarios de Windows que ejecutan la última versión del sistema operativo, que se actualizan automáticamente, significa que en los próximos años Windows puede ganarse la reputación de ser el sistema operativo más seguro de usar.

Lea la publicación completa de Terry Myerson a continuación:

Windows es la única plataforma con el compromiso del cliente de investigar los problemas de seguridad informados y actualizar de manera proactiva los dispositivos afectados lo antes posible. Y nos tomamos esta responsabilidad muy en serio.

Recientemente, el grupo de actividad que Microsoft Threat Intelligence llama STRONTIUM llevó a cabo una campaña de phishing selectivo de bajo volumen. Se sabe que los clientes que usan Microsoft Edge en Windows 10 Anniversary Update están protegidos contra las versiones de este ataque que se observan en la naturaleza. Esta campaña de ataque, identificada originalmente por el Grupo de análisis de amenazas de Google, utilizó dos vulnerabilidades de día cero en Adobe Flash y el kernel de Windows de nivel inferior para apuntar a un conjunto específico de clientes.

Nos hemos coordinado con Google y Adobe para investigar esta campaña maliciosa y crear un parche para las versiones inferiores de Windows. En este sentido, muchos participantes de la industria están probando parches para todas las versiones de Windows, y planeamos lanzarlos públicamente en la próxima actualización, el martes 8 de noviembre.

Creemos que la participación responsable en la industria de la tecnología pone al cliente en primer lugar y requiere una divulgación coordinada de vulnerabilidades. La decisión de Google de divulgar estas vulnerabilidades antes de que los parches estén ampliamente disponibles y probados es decepcionante y pone a los clientes en mayor riesgo.

Para hacer frente a este tipo de ataques sofisticados, Microsoft recomienda que todos los clientes actualicen a Windows 10, el sistema operativo más seguro que jamás hayamos creado, completo con protección avanzada para consumidores y empresas en cada capa de la pila de seguridad. Los clientes que han habilitado la Protección contra amenazas avanzada (ATP) de Windows Defender detectarán los intentos de ataque de STRONTIUM gracias al análisis de detección de comportamiento genérico de ATP y la inteligencia de amenazas actualizada.

-Terry

Lea más sobre el exploit y Las medidas de mitigación de Microsoft aquí.

Más sobre los temas: 0-día, google, microsoft, vulnerabilidades, ventanas, Kernel de Windows, Vulnerabilidad de Windows

Surur Davids

Experto en teléfonos inteligentes

Surur Davids es el fundador de WMPoweruser, que luego se convirtió en MSPoweruser.com. Es un experto en teléfonos inteligentes con más de una década de experiencia.