Google ha publicado información sobre una vulnerabilidad en un producto de Microsoft, dos días antes de la solución prevista en su conocido martes de parches, a pesar de Microsoft le pidiera no hacerlo. En concreto, Microsoft le pregunto a Google si quería trabajar con ellos para proteger a los clientes mediante la retención de datos hasta el martes, 13 de enero, que es cuando vamos a liberar la solución.
El problema es que Google informó a Microsoft de esta vulnerabilidad el 30 de septiembre y bajo las políticas de divulgación de Project Zero comunicó al gigante del software que la haría pública en 90 días. Microsoft no lo parcheó y Google la publicó detallando su posible explotación.
Chris Betz (Responsable del Centro de respuesta de seguridad de Microsoft) critica que un competidor publique una vulnerabilidad sin que el proveedor de software la haya parcheado: “Quienes están a favor de la divulgación pública creen que este método empuja a los proveedores de software para corregir las vulnerabilidades más rápidamente y hace que los clientes desarrollen y adopten medidas para protegerse. No estamos de acuerdo. Es una presión indebida en un entorno técnico complicado que necesita evaluar plenamente el potencial de la vulnerabilidad y diseñar un parche en un entorno de amenazas más amplio”.
Microsoft no cree correcto que investigadores de seguridad encuentren vulnerabilidades en productos de un competidor, apliquen presión sobre la necesidad de una revisión de seguridad o parche dentro de un determinado período de tiempo, y revelen públicamente la información acerca de la vulnerabilidad, permitiendo a los clientes ser atacados antes de haber creado una solución.
“Cualquier persona involucrada en el desarrollo de software sabe que responder a las vulnerabilidades de seguridad puede ser un extenso, laborioso y complejo proceso y por ello instamos a Google a hacer de la protección de los clientes nuestro principal objetivo colectivo“.