Recapitulemos. El pasado verano, Google anunció la formación de un grupo de investigación denominado 'Project Zero' encargado de detectar y alertar sobre problemas de seguridad en su software o en el de otras compañías. El 30 de septiembre, este equipo alertó a Microsoft de la existencia de una vulnerabilidad en Windows 8.1 que podría permitir a terceros hacerse con el control de una máquina con dicho sistema operativo. Lo hizo acompañando el aviso de un tiempo límite de 90 días para que los de Redmond la solucionasen antes de hacerla completamente pública.
Esto último fue lo que terminó por ocurrir la semana pasada. Transcurridos esos 90 días sin que Microsoft pudiese terminar de solucionarlo, la vulnerabilidad fue hecha pública por el grupo de investigación de Google, permitiendo a cualquiera conocerla y detallando como podría ser explotada. Eso no ha gustado en Redmond, donde ya estaban trabajando en una solución. Tan poco ha gustado que Chris Betz, senior director en el Microsoft Security Response Center (MSRC), ha decidido publicar una nota lamentando la acción de los de Mountain View y llamando a un mejor entendimiento entre los equipos de seguridad de las compañías.
Betz se muestra muy crítico con la actuación de Google en el asunto. Al parecer, desde Redmond habrían solicitado al equipo de 'Project Zero' que retrasasen la publicación del fallo hasta el 13 de enero, momento en el que tenían previsto distribuir una solución mediante sus conocidos parches de los martes. Por desgracia, los de Mountain View no cumplieron con la petición y eso ha motivado su respuesta defendiendo una mejor forma de colaborar en este tipo de situaciones.
En Microsoft consideran equivocada la estrategia seguida por Google de tener a un equipo de investigación encontrando vulnerabilidades en productos de la competencia, añadiendo presión con un tiempo límite para que se solucionen y amenazando con su publicación en caso de que se supere. No todas las vulnerabilidades suponen un mismo nivel de amenaza y a menudo no tienen solución rápida o su aplicación es más o menos complicada, por lo que instaurar una cuenta atrás para su publicación no es la mejor forma de incentivar la solución de las mismas.
Desde Redmond abogan más porque los investigadores alerten privadamente a las compañías de las posibles vulnerabilidades y trabajen con ellas en una solución sin exigir límites temporales ni amenazar con su publicación.
Vía | Microsoft
Ver 58 comentarios