News

Microsoft cambia sus políticas de publicación de vulnerabilidades

Microsoft ha establecido una nueva serie de reglas en su compañía para controlar la forma en la que sus empleados dan a conocer las vulnerabilidades que encuentran en productos ajenos.

Microsoft demostró que está comprometido a seguir los pasos de la propuesta Publicación Coordinada de Vulnerabilidades (CVD) que dio a conocer en julio del año pasado para tratar de homogeneizar la forma en la que se trata y comparte la información sobre nuevas vulnerabilidades.

La propuesta también intenta dar fin a los conflictos causados por el término “Publicación Responsable de Vulnerabilidades”, que hacía quedar como irresponsables a los que no seguían estos pasos. “No queremos que un nombre emotivo opaque nuestro debate”, dijo Microsoft cuando presentó su propuesta el año pasado.

Se espera que los nuevos métodos faciliten la comunicación entre Microsoft y las empresas con productos vulnerables, para evitar que los datos de las vulnerabilidades lleguen a manos de cibercriminales antes de que se haya desarrollado un parche para neutralizarlas.

Además, las nuevas reglas de Microsoft no permiten que sus empleados publiquen de ninguna otra forma las vulnerabilidades que encuentren, aun cuando las hayan encontrado en su tiempo libre.

El año pasado, un caso específico relacionado con este tema causó gran conmoción: Un empleado de Google decidió por su propia cuenta publicar en Internet los datos de una vulnerabilidad en Microsoft Windows Help and Support Center para obligar a Microsoft a que publicara un parche lo antes posible, antes de que los cibercriminales comenzaran a explotarla.

En respuesta a este incidente, Microsoft asegura que las nuevas reglas de su compañía no aceptan este tipo de comportamiento: “Estamos siguiendo la regla de oro de la revelación de vulnerabilidades: todo gira en torno a proteger a los usuarios porque no existe ninguna razón para aumentar el riesgo al imponer una fecha límite fija [para obligar a la empresa a publicar un parche]”, afirmó Katie Moussouris, portavoz de Microsoft.

La empresa ya ha publicado sus dos primeros Documentos Informativos sobre Análisis de Vulnerabilidades de Microsoft (MSVR), ambos sobre vulnerabilidades que afectan a Google Chrome.

Fuentes:

Microsoft Announces Coordinated Vulnerability Disclosure Procedures And First Two Vulnerability Advisories PC World

Microsoft imposes security disclosure policy on all workers The Register

Microsoft becomes responsible software vulnerability discloser The Inquirer

Microsoft cambia sus políticas de publicación de vulnerabilidades

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada