Microsoft descontenta con Google y la publicación de una vulnerabilidad en Windows 8.1

DPlqV4n.jpg


Recapitulemos. El pasado verano, Google anunció la formación de un grupo de investigación denominado 'Project Zero' encargado de detectar y alertar sobre problemas de seguridad en su software o en el de otras compañías. El 30 de septiembre, este equipo alertó a Microsoft de la existencia de una vulnerabilidad en Windows 8.1 que podría permitir a terceros hacerse con el control de una máquina con dicho sistema operativo. Lo hizo acompañando el aviso de un tiempo límite de 90 días para que los de Redmond la solucionasen antes de hacerla completamente pública.

Esto último fue lo que terminó por ocurrir la semana pasada. Transcurridos esos 90 días sin que Microsoft pudiese terminar de solucionarlo, la vulnerabilidad fue hecha pública por el grupo de investigación de Google, permitiendo a cualquiera conocerla y detallando como podría ser explotada. Eso no ha gustado en Redmond, donde ya estaban trabajando en una solución. Tan poco ha gustado que Chris Betz, senior director en el Microsoft Security Response Center (MSRC), ha decidido publicar una nota lamentando la acción de los de Mountain View y llamando a un mejor entendimiento entre los equipos de seguridad de las compañías.

Betz se muestra muy crítico con la actuación de Google en el asunto. Al parecer, desde Redmond habrían solicitado al equipo de 'Project Zero' que retrasasen la publicación del fallo hasta el 13 de enero, momento en el que tenían previsto distribuir una solución mediante sus conocidos parches de los martes. Por desgracia, los de Mountain View no cumplieron con la petición y eso ha motivado su respuesta defendiendo una mejor forma de colaborar en este tipo de situaciones.

En Microsoft consideran equivocada la estrategia seguida por Google de tener a un equipo de investigación encontrando vulnerabilidades en productos de la competencia, añadiendo presión con un tiempo límite para que se solucionen y amenazando con su publicación en caso de que se supere. No todas las vulnerabilidades suponen un mismo nivel de amenaza y a menudo no tienen solución rápida o su aplicación es más o menos complicada, por lo que instaurar una cuenta atrás para su publicación no es la mejor forma de incentivar la solución de las mismas.

Desde Redmond abogan más porque los investigadores alerten privadamente a las compañías de las posibles vulnerabilidades y trabajen con ellas en una solución sin exigir límites temporales ni amenazar con su publicación.

Fuente
 
Haz clic para expandir...
No entiendo en verdad la jugada, es decir, si Google quería desprestigiar a Microsoft haciendo pública una falla, lo que hizo fue completamente lo opuesto, se ve mal ese gesto por su parte.

Pero bueno, Google siempre ha tratado de menospreciar el trabajo de Microsoft, incluso bloqueando servicios a usuarios de WP.
 
Sihy dijo:
No entiendo en verdad la jugada, es decir, si Google quería desprestigiar a Microsoft haciendo pública una falla, lo que hizo fue completamente lo opuesto, se ve mal ese gesto por su parte.

Pero bueno, Google siempre ha tratado de menospreciar el trabajo de Microsoft, incluso bloqueando servicios a usuarios de WP.
Haz clic para expandir...

Lo peor es poner peligro a los usuarios haciendo publico la falla y como explotarla, nada bueno los sres de google.
 
  • Me gusta
Reacciones: Cracktrix
Definitivamente Google se esta haciendo fama solito de ser el nuevo malo de la pelicula, lo que hace que muchos desistamos de usar sus servicios usando alternos, Yo por ejemplo no uso su Chrome, es un devorador de recursos.

Y si, la que mejor sale parada es MS, uno por que es una de las empresas que más rapido atiende las actualización de criticas de su SO y dos por que si hay un SO que ha tenido recurente fallas y bugs es Android.

Como cambian los tiempos, mientras el señor Gates se dedica ahora a sus fundaciones y tomar agua salida de la damier, los de Google buscando joder al que se le atraviese en el camino.
 
  • Me gusta
Reacciones: ––•(ByAlaN)•––, ||JavierV||, Cracktrix y 3 más
Porque atacan a google? descubrio una falla que el mismo MS no, osea MS no invierte en investigacion sobre la seguridad de sus propios productos? Les hicieron el trabajo y gratis.
Les dio 90 dias para dar una solucion, por dios 90 dias a MS con todo lo que significa y los equipos de trabajo que tienen en cada area.

Si google no publicaba ese hueco MS hubiese seguido tomando del pelo sin dar solucion, increible que a ninguno le escandalice que sabiendo el error duramos 3 o mas meses con un hueco de seguridad, como usuarios expuestos, curioso que salga la solucion solo dias despues de que google la hace publica.
 
  • Me gusta
Reacciones: eighta, ||JavierV||, agentkiller y 10 más
-Morgot- dijo:
Porque atacan a google? descubrio una falla que el mismo MS no, osea MS no invierte en investigacion sobre la seguridad de sus propios productos? Les hicieron el trabajo y gratis.
Les dio 90 dias para dar una solucion, por dios 90 dias a MS con todo lo que significa y los equipos de trabajo que tienen en cada area.

Si google no publicaba ese hueco MS hubiese seguido tomando del pelo sin dar solucion, increible que a ninguno le escandalice que sabiendo el error duramos 3 o mas meses con un hueco de seguridad, como usuarios expuestos, curioso que salga la solucion solo dias despues de que google la hace publica.
Haz clic para expandir...

Totalmente de acuerdo. Ya quisiera yo imaginarme el escandalo de todos donde hubiese otro Leak en otra compañia, y resulto que Google siempre supo de esto y no dijo nada o hizo nada.
El plazo de los 90 para una compañia del tamaño de Microsoft es mas que suficiente, quizas demasiado cuando se trata de un fallo de seguridad que permite hacer lo que se dice.

Aplaudo la iniciativa de Google, y recuerden que ese tipo de desiciones, aunque polemicas no son faciles de tomar, precisamente porque los exponen a la opinion pública.
 
  • Me gusta
Reacciones: Jdtinjacaa y danielc1657
-Morgot- dijo:
Porque atacan a google? descubrio una falla que el mismo MS no, osea MS no invierte en investigacion sobre la seguridad de sus propios productos? Les hicieron el trabajo y gratis.
Les dio 90 dias para dar una solucion, por dios 90 dias a MS con todo lo que significa y los equipos de trabajo que tienen en cada area.

Si google no publicaba ese hueco MS hubiese seguido tomando del pelo sin dar solucion, increible que a ninguno le escandalice que sabiendo el error duramos 3 o mas meses con un hueco de seguridad, como usuarios expuestos, curioso que salga la solucion solo dias despues de que google la hace publica.
Haz clic para expandir...

De acuerdo, sobretodo "Y GRATIS".
pero no solo llevan 90 días con ese problema, ya son más de 20 años y en 8 versiones diferentes de su S.O, se puede controlar, apagar, robar datos, etc, etc, etc...
 
  • Me gusta
Reacciones: reader y sibero80
-Morgot- dijo:
Porque atacan a google? descubrio una falla que el mismo MS no, osea MS no invierte en investigacion sobre la seguridad de sus propios productos? Les hicieron el trabajo y gratis.
Les dio 90 dias para dar una solucion, por dios 90 dias a MS con todo lo que significa y los equipos de trabajo que tienen en cada area.

Si google no publicaba ese hueco MS hubiese seguido tomando del pelo sin dar solucion, increible que a ninguno le escandalice que sabiendo el error duramos 3 o mas meses con un hueco de seguridad, como usuarios expuestos, curioso que salga la solucion solo dias despues de que google la hace publica.
Haz clic para expandir...

Si lee con atencion Microsoft tenia la solucion, pero se aplicaron en sus martes de actualizacion, si conociera algo sobre procesos se daria cuenta que lanzar una actualizacion y mas a un a SO no es algo que se haga en una semana sin mencionar que no se pueden modificar las politicas de cambios asi como asi, eso resulta en implicaciones legales me parecio prudente de microsoft solicitar la espera hasta el martes de actualizaciones las cuales son una al mes, y queda en evidencia lo desleal de la competencia de google, es bien conocido la inseguridad de Android y los multiples errores que tienen, sera que son asi de estrictos con la norma de publicacion de errore con ellos mismos?

danielc1657 dijo:
De acuerdo, sobretodo "Y GRATIS".
pero no solo llevan 90 días con ese problema, ya son más de 20 años y en 8 versiones diferentes de su S.O, se puede controlar, apagar, robar datos, etc, etc, etc...
Haz clic para expandir...

Acaso usted cree que existe SO perfecto sin fallos de seguridad ?? Linux esta en la mayoria de servidores WEB del mundo y tambien son de los servidores mas vulnerados y que podemos decir de esto ?, que paso con el cloud de Apple ? si le corres un test de seguridad a cualquier SO vas a encontrar vulnerabilidades y te lo digo por que he tenido que hacerlo, desde AIX, hasta solaris, no se salva Linux ni Microsoft, si le corrieran uno a Android como le iria ??.. mencionar el tiempo de una empresa seria ridiculo por que entonces IBM no tendria perdon de dios!
 
  • Me gusta
Reacciones: ––•(ByAlaN)•––, Cracktrix y ZaShY30
Al menos les dieron 3 meses. Eso es el triple del tiempo que nos da Windows para activarlo que son solo 30 míseros días.
 
Bitutles dijo:
Si lee con atencion Microsoft tenia la solucion, pero se aplicaron en sus martes de actualizacion, si conociera algo sobre procesos se daria cuenta que lanzar una actualizacion y mas a un a SO no es algo que se haga en una semana sin mencionar que no se pueden modificar las politicas de cambios asi como asi, eso resulta en implicaciones legales me parecio prudente de microsoft solicitar la espera hasta el martes de actualizaciones las cuales son una al mes, y queda en evidencia lo desleal de la competencia de google, es bien conocido la inseguridad de Android y los multiples errores que tienen, sera que son asi de estrictos con la norma de publicacion de errore con ellos mismos?



Acaso usted cree que existe SO perfecto sin fallos de seguridad ?? Linux esta en la mayoria de servidores WEB del mundo y tambien son de los servidores mas vulnerados y que podemos decir de esto ?, que paso con el cloud de Apple ? si le corres un test de seguridad a cualquier SO vas a encontrar vulnerabilidades y te lo digo por que he tenido que hacerlo, desde AIX, hasta solaris, no se salva Linux ni Microsoft, si le corrieran uno a Android como le iria ??.. mencionar el tiempo de una empresa seria ridiculo por que entonces IBM no tendria perdon de dios!
Haz clic para expandir...

Microsoft tiene las actualizacion los martes google da 90 dias para publicar la informacion, por que microsoft no saco antes el parche, las dos se escudan en procesos internos "o procesos ya preestablecidos" se me hace mas culpa de microsoft por no dar soporte a tiempo, pasa en todos casos nos dan una fecha par pagar algo y simpre pedimos mas tiempo o entregar algo y si se falla uno paga consecuencias.

O no es asi.
 
  • Me gusta
Reacciones: eddyglan
Que falla para los que tenemos w8 [emoji20]
Y si microsoft pone las vulnerabilidades y bugs de android que dirán los de google[emoji23]

PD:uso android y windows [emoji14]
 
Precisamente lo que quiere google es lo que esta pasando aquí, que hablen mal de Microsoft, por que ellos osea Google son las hermanitas de la caridad.
 
A los fan boys de google esta vez entiendan que se le fue la mano a Google ... como que no entienden q no todas las vulnerabilidades son iguales y que no todas se pueden parchar en 30 dias. Eso que hizo Google es desleal y poco etico mas cuando Microsoft pidió tiempo extra. Lo dice un linuxero dede hace mas de 7 años
 
  • Me gusta
Reacciones: Cracktrix y ZaShY30
Bitutles dijo:
Acaso usted cree que existe SO perfecto sin fallos de seguridad ?? Linux esta en la mayoria de servidores WEB del mundo y tambien son de los servidores mas vulnerados y que podemos decir de esto ?, que paso con el cloud de Apple ? si le corres un test de seguridad a cualquier SO vas a encontrar vulnerabilidades y te lo digo por que he tenido que hacerlo, desde AIX, hasta solaris, no se salva Linux ni Microsoft, si le corrieran uno a Android como le iria ??.. mencionar el tiempo de una empresa seria ridiculo por que entonces IBM no tendria perdon de dios!
Haz clic para expandir...

Yo no digo que Linux sea perfecto, ni android, ni muchísimo menos mac (Que es el que menos me gusta de todos y jamás lo usaría a menos que me pagaran por ello)
Pero, los ataques que Ud. menciona son en su inmenza mayoría (por no decir todos) culpa de los usuarios y/o de los prestadores de servicios de hosting, no del S.O.
  • Incorrecta/pobre/inexperta configuración de APACHE (El principal problema)
  • Inyección SQL
  • contraseñas débiles
  • Denegación del servicio
  • fuerza bruta
Eso sería como decir que es culpa de Microsoft cuando atacan un servidor con IIS mal configurado.
Reconozco que Microsoft avanzó inmensamente con Windows 7 y 8, pero en este caso específico yo creo el servicio que le prestó google de hacer pruebas (qué cuesta unos cuantos miles de $$$), de darle 90 días antes de publicarlo (pudiendo haber aprovechado la ocasión inmediatamente), no fué para nada desleal.
 
  • Me gusta
Reacciones: -P2-
dcure dijo:
A los fan boys de google esta vez entiendan que se le fue la mano a Google ... como que no entienden q no todas las vulnerabilidades son iguales y que no todas se pueden parchar en 30 dias. Eso que hizo Google es desleal y poco etico mas cuando Microsoft pidió tiempo extra. Lo dice un linuxero dede hace mas de 7 años
Haz clic para expandir...
Es que nisiquiera fueron 30 dias, fueron 90, muy mal por Microsoft, bien por Google.

Es una muy buena medida por parte de Google lo de los 90 días, es tiempo mas que suficiente para corregir, Si esto no fuese así Microsoft se tardaria medio año solucionandolo.
 
dcure dijo:
A los fan boys de google esta vez entiendan que se le fue la mano a Google ... como que no entienden q no todas las vulnerabilidades son iguales y que no todas se pueden parchar en 30 dias. Eso que hizo Google es desleal y poco etico mas cuando Microsoft pidió tiempo extra. Lo dice un linuxero dede hace mas de 7 años
Haz clic para expandir...
Pero no fueron 30 sino 90 días, el servicio de realizar tests es costoso y lo hicieron gratis, no los "delataron" inmediatamente sino luego del tiempo pactado. Además esto sienta un precedente para que las compañías se preocupen más por corregir errores en el menor tiempo posible en lugar de tratar de ganar más dinero con cosas menos importantes (Yo soy vendedor y prefiero dejar de garnar un poco antes que defraudar a mis clientes, sobretodo los que ya pagaron, eso es prioridad)
 

Los últimos mensajes

Los últimos temas

Arriba Pie
Atrás