Microsoft cambia sus políticas de publicación de vulnerabilidades

Microsoft ha establecido una nueva serie de reglas en su compañía para controlar la forma en la que sus empleados dan a conocer las vulnerabilidades que encuentran en productos ajenos.

Microsoft demostró que está comprometido a seguir los pasos de la propuesta Publicación Coordinada de Vulnerabilidades (CVD) que dio a conocer en julio del año pasado para tratar de homogeneizar la forma en la que se trata y comparte la información sobre nuevas vulnerabilidades.

La propuesta también intenta dar fin a los conflictos causados por el término “Publicación Responsable de Vulnerabilidades”, que hacía quedar como irresponsables a los que no seguían estos pasos. “No queremos que un nombre emotivo opaque nuestro debate”, dijo Microsoft cuando presentó su propuesta el año pasado.

Se espera que los nuevos métodos faciliten la comunicación entre Microsoft y las empresas con productos vulnerables, para evitar que los datos de las vulnerabilidades lleguen a manos de cibercriminales antes de que se haya desarrollado un parche para neutralizarlas.

Además, las nuevas reglas de Microsoft no permiten que sus empleados publiquen de ninguna otra forma las vulnerabilidades que encuentren, aun cuando las hayan encontrado en su tiempo libre.

El año pasado, un caso específico relacionado con este tema causó gran conmoción: Un empleado de Google decidió por su propia cuenta publicar en Internet los datos de una vulnerabilidad en Microsoft Windows Help and Support Center para obligar a Microsoft a que publicara un parche lo antes posible, antes de que los cibercriminales comenzaran a explotarla.

En respuesta a este incidente, Microsoft asegura que las nuevas reglas de su compañía no aceptan este tipo de comportamiento: “Estamos siguiendo la regla de oro de la revelación de vulnerabilidades: todo gira en torno a proteger a los usuarios porque no existe ninguna razón para aumentar el riesgo al imponer una fecha límite fija [para obligar a la empresa a publicar un parche]”, afirmó Katie Moussouris, portavoz de Microsoft.

La empresa ya ha publicado sus dos primeros Documentos Informativos sobre Análisis de Vulnerabilidades de Microsoft (MSVR), ambos sobre vulnerabilidades que afectan a Google Chrome.

Fuentes:

http://www.pcworld.com/article/225791/microsoft_announces_coordinated_vulnerability_disclosure_procedures_and_first_two_vulnerability_advisories.html — Microsoft Announces Coordinated Vulnerability Disclosure Procedures And First Two Vulnerability Advisories (PC World)

Microsoft imposes security disclosure policy on all workers The Register

http://www.theinquirer.net/inquirer/news/2045237/microsoft-responsible-software-vulnerability-discloser — Microsoft becomes responsible software vulnerability discloser (The Inquirer)