Todo comenzó con la publicación de un bug asociado a Windows 8.1 en el Project Zero de Google un par de días antes de que su corrección fuera distribuida por Microsoft. Esto llevó a una dura respuesta de Redmond, dando a entender que Google busca dejar en ridículo a su rival arriesgando la seguridad de los usuarios. ¿Qué hizo Project Zero? Publicó dos bugs más. El primero de ellos sólo revela información básica, pero el segundo no tendrá un parche oficial hasta febrero.
El campo de batalla ha sido definido. Project Zero continúa publicando información de bugs en diferentes versiones de Windows antes de que Microsoft pueda corregirlos. Irónicamente, la plataforma destinada a mejorar la seguridad en productos ajenos a Mountain View se convirtió en un distribuidor de vulnerabilidades 0-day (¿o deberíamos decir “90-day” sin parches?). Project Zero intenta protegerse con un pequeño mensaje en la parte inferior de cada entrada, destacando que el proceso es automático una vez agotados los días de embargo. Aún así, la sensación para el usuario es la de dos carneros chocando sus cabezas durante horas. Y no hay solución de corto plazo aquí.
Lo que nos trae aquí hoy son los asuntos 127 y 128. El primero ha sido clasificado por ambas partes como “sin riesgo”, ya que sólo expone una limitada cantidad de información relacionada a la configuración de energía de un sistema. Dicho de otro modo, Microsoft confirmó que ni siquiera es lo suficientemente serio como para crear un boletín de seguridad, y en consecuencia no habrá parche. El segundo es más complicado, ya que involucra una falla al momento de verificar la identidad del usuario, que podría provocar problemas de cifrado en datos compartidos. Lo más interesante del Asunto 128 es que Microsoft iba a publicar el hotfix en el último “martes de parches”, pero descubrió algunos incidentes de compatibilidad en la fase de pruebas, provocando su suspensión hasta el segundo martes de febrero. Esta demora causó que el parche quede fuera del umbral de 90 días en Project Zero.
La nueva declaración de Microsoft aparenta ser un poco más moderada que la anterior. De acuerdo a la información disponible no se ha registrado ninguna clase de ciberataque que haya aprovechado a estos bugs, pero Microsoft agregó que para hacer uso del Asunto 128, el atacante debería explotar otra vulnerabilidad antes. El punto es que la postura de ambas compañías no ha cambiado, y las opiniones en la Web se están polarizando rápidamente. De un lado, muchos indicaron que Google da el doble de tiempo que el CERT a la hora de publicar bugs, y que Microsoft debería acelerar sus tiempos. Del otro, insisten en que Project Zero está haciendo más daño que bien, que el famoso “Don’t be evil” quedó en el olvido, y que Microsoft debería devolver el favor analizando a Android. ¿Veremos un tercer round?
6 Comments
Leave a Reply