Google ha descubierto una vulnerabilidad de Microsoft que se está explotando en la red y ha expuesto sus detalles al público solo 10 días después de haber informado a la compañía sobre el problema.
El 21 de octubre, Google se puso en contacto con Microsoft y Adobe para informarles sobre una vulnerabilidad que había descubierto en Flash y en Windows. Adobe solucionó el problema con un parche que publicó el 26 de octubre (CVE-2016-7855), pero Microsoft todavía no ha terminado de desarrollar un parche para la vulnerabilidad.
Google se refirió a la vulnerabilidad de Microsoft como una vulnerabilidad crítica porque permite el aumento de privilegios en el kernel de Windows que puede usarse para escapar de las cajas de arena. Además, solucionarla es urgente porque los criminales ya la han descubierto y la están explotando.
Google decidió publicar esta información porque sus políticas le exigen que lo haga 60 días después de haber informado al desarrollador sobre el problema si la vulnerabilidad no se está explotando y solo 7 días cuando los atacantes ya la han descubierto.
“Siete días es un tiempo muy ajustado y puede no ser suficiente para que los vendedores actualicen sus productos”, dijo Google en una publicación en 2003, cuando tuvo un problema similar con Microsoft. “Sin embargo, es suficiente tiempo para que la compañía advierta a sus clientes sobre posibles formas de mitigar la amenaza”.
Microsoft desaprobó la decisión de Google de publicar los detalles de la vulnerabilidad sin haber esperado a que haya un parche disponible. “Creemos en la importancia de la publicación coordinada de vulnerabilidades, y la exposición de Google puso a los usuarios en riesgo”, dijo Microsoft. “Microsoft es la única plataforma comprometida a investigar los problemas de seguridad que se descubren en sus productos y a actualizar de forma proactiva los dispositivos afectados lo antes posible”, dijo la compañía.
Un factor mitigante es que se necesita la vulnerabilidad de Flash para explotar la de Windows, por lo que es importante instalar la actualización de Adobe lo antes posible para protegerse. Microsoft dijo que es razonable que le tome más tiempo desarrollar a un parche que a Adobe porque no es lo mismo trabajar con un programa que con todo un sistema operativo. Mientras tanto, como la vulnerabilidad se descubrió afectando a Chrome, la compañía aconsejó utilizar el navegador Microsoft Edge para mantenerse protegidos contra esta amenaza.
“Las acciones de Google son comprensibles si se toma en cuenta que la vulnerabilidad ya se está explotando”, opinó el Dr. Steven Murdoch, de la Universidad de Londres. “Pero si es correcto o no que haya hecho pública la vulnerabilidad da lugar a debates: ambos lados tienen argumentos razonables al respecto y todavía no sabemos quiénes son los atacantes ni a quiénes están dirigidos”.
Fuentes
Google publica una vulnerabilidad de Microsoft 10 días después de haberse dado a conocer