Conecta con nosotros

Noticias

Microsoft critica el “chivatazo” de Google

Publicado el

chivarse

Google desveló una vulnerabilidad crítica que había encontrado en Windows slo diez días después de avisar a Microsoft de su existencia. Desde entonces hasta el pasado lunes, la compañía asumía que esta se dedicaría a corregirla, así como de avisar al público de su existencia. Pero no ha sido así, y debido a las estrictas normas que sigue Google en cuanto a la publicación de agujeros de seguridad localizados, lo ha comunicado públicamente además de “chivarse” de que los de Redmond aún no tienen un parque para corregirla. Y claro está, esto no ha sentado nada bien en Microsoft.

Según declaraciones de la compañía al respecto, recogidas por Computerworld, “creemos que en la publicación coordinada de vulnerabilidades, y revelación de Google podría poner a los clientes en un riesgo potencial“.

Algo en lo que no está de acuerdo el otro implicado, quien dice que “siete días es un plazo muy agresivo, y puede ser demasiado escaso para que algunas empresas puedan actualizar sus productos. Pero debería ser suficiente para poder hacer públicos los consejos sobre cómo actuar para mitigar sus efectos“.

La vulnerabilidad que acaba de desvelarse es bastante grave. Permite a los hackers explotar un bug localizado en el kernel de Windows, que permite, mediante una llamada al sistema, a través del archivo win32k.sys, saltarse el entorno de seguridad del sistema operativo.

No es la primera vez que las dos compañías han estado en desacuerdo por la publicación de una vulnerabilidad. En 2016, Google reveló la existencia de varios agujeros de seguridad en Windows antes de que a los de Redmond les diera tiempo a lanzar parches para corregirlos. Microsoft se quejó entonces de que se habían ajustado a los plazos que Google les dio tras avisarles antes de hacer público su descubrimiento, pero aún así lo habían comunicado, en una acción que para ellos estaba menos relacionada con los principios de la empresa, y más con una sensación de decirles “te pillé”.

Siete días parecen suficientes para que la mayoría de empresas puedan corregir una vulnerabilidad, pero no lo son en el caso de Windows. Según Brian Martin, director de Inteligencia de Vulnerabilidades de la consultora Risk Based Security, es imposible que Microsoft libere un parche en una semana. Corregir una cualquiera de Windows puede implicar la resolución de problemas en varias plataformas ajenas al sistema operativo, además de tener que asegurar que el parche no interfiere con el resto de la programación existente. “Es demasiado complicado hacerlo en sólo unos días. Volvemos a un debate ya antiguo de cuánto tiempo debería darse“. No obstante, también justifica su publicación sin más dilación. “En este caso, debido a que la vulnerabilidad ya estaba siendo explotada, se fuerza a Microsoft a acelerar su planificación“.

Según ha comentado Google sobre esta vulnerabilidad, los usuarios de Windows 10 que empleen Chrome como navegador están protegidos, ya que el propio programa evita que puedan reproducirse las consecuencias de la vulnerabilidad. Chrome cuenta con su propio entorno de seguridad, que hace que el navegador pueda bloquear las llamadas al sistema con win32k.sys.

 

Top 5 cupones

Lo más leído

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!