Microsoft revela que Google publicó detalles sobre la vulnerabilidad de Windows a pesar de su solicitud de retrasarlo

Un investigador de Google encontró una vulnerabilidad de seguridad sin parches en Windows 8.1 y publicó el error en la página de investigación de seguridad de Google y estaba sujeto a un plazo de divulgación de 90 días. Si transcurren 90 días sin que haya un parche ampliamente disponible, el informe de errores se volverá visible automáticamente para el público. Con esta política, Google publicó la información de vulnerabilidad en la web. Fue un movimiento irresponsable de Google publicar una vulnerabilidad en un producto como Windows que utilizan millones de personas todos los días.

Hoy, Microsoft confirmó que solicitó a Google que retrase este proceso durante 2 días hasta que publique su solución. Pero Google rechazó felizmente la solicitud sin preocuparse por millones de usuarios.

La filosofía y la acción de CVD se están desarrollando hoy cuando una empresa, Google, ha publicado información sobre una vulnerabilidad en un producto de Microsoft, dos días antes de nuestra solución planificada en nuestra conocida y coordinada cadencia del martes de parches, a pesar de nuestra solicitud de que eviten hacerlo. Específicamente, le pedimos a Google que trabaje con nosotros para proteger a los clientes reteniendo detalles hasta el martes 13 de enero, cuando publicaremos una solución. Aunque cumplir con el cronograma anunciado por Google para la divulgación, la decisión se siente menos como principios y más como un "te pillé", siendo los clientes los que pueden sufrir como resultado. Lo que es correcto para Google no siempre lo es para los clientes. Instamos a Google a que haga de la protección de los clientes su principal objetivo colectivo.

Microsoft ha creído durante mucho tiempo que la divulgación coordinada es el enfoque correcto y minimiza el riesgo para los clientes. Creemos que aquellos que revelan completamente una vulnerabilidad antes de que una solución esté ampliamente disponible están perjudicando a millones de personas y a los sistemas de los que dependen. Otras compañías y personas creen que la divulgación completa es necesaria porque obliga a los clientes a defenderse, aunque la gran mayoría no toma ninguna medida, ya que depende en gran medida de que un proveedor de software publique una actualización de seguridad. Incluso para aquellos que pueden tomar medidas preparatorias, el riesgo aumenta significativamente al anunciar públicamente información que un ciberdelincuente podría usar para orquestar un ataque y asume que aquellos que tomarían medidas están al tanto del problema. De las vulnerabilidades divulgadas de forma privada a través de prácticas de divulgación coordinadas y reparadas cada año por todos los proveedores de software, hemos descubierto que casi ninguna se explota antes de que se haya proporcionado una "corrección" a los clientes, e incluso después de que una "corrección" esté disponible públicamente, solo una se explota una cantidad muy pequeña. Por el contrario, el historial de vulnerabilidades divulgadas públicamente antes de que las soluciones estén disponibles para los productos afectados es mucho peor, y los ciberdelincuentes orquestan ataques con mayor frecuencia contra aquellos que no tienen o no pueden protegerse.

Otro aspecto del debate sobre las CVD está relacionado con el tiempo, específicamente la cantidad de tiempo que es aceptable antes de que un investigador comunique ampliamente la existencia de una vulnerabilidad. Reparar un error en el servicio web es completamente diferente de corregir un error en Windows, que tiene un sistema operativo de una década.

Lea más al respecto de la entrada de blog de Microsoft.