Microsoft descontenta con Google y la publicación de una vulnerabilidad en Windows 8.1

Sihy · 13 Ene 2015

Jdtinjacaa dijo:
Es que nisiquiera fueron 30 dias, fueron 90, muy mal por Microsoft, bien por Google.

Es una muy buena medida por parte de Google lo de los 90 días, es tiempo mas que suficiente para corregir, Si esto no fuese así Microsoft se tardaria medio año solucionandolo.

Pero, ¿no lee la noticia?

BenderBR dijo:
Betz se muestra muy crítico con la actuación de Google en el asunto. Al parecer, desde Redmond habrían solicitado al equipo de 'Project Zero' que retrasasen la publicación del fallo hasta el 13 de enero, momento en el que tenían previsto distribuir una solución mediante sus conocidos parches de los martes. Por desgracia, los de Mountain View no cumplieron con la petición y eso ha motivado su respuesta defendiendo una mejor forma de colaborar en este tipo de situaciones.

La solución ya estaba, programada para la actualización de los martes, bien pudieron esperar unos días a ver si estaba solucionado antes de publicarlo.

Pero bueno, ya cada quien lo toma respecto a su punto de vista.

-Jαv- · 13 Ene 2015

Voy a dejar esto por aqui y me retiraré lentamente. . .

rparrado · 13 Ene 2015

primero que todo los fallos estaban alli no hace 90 dias, los que lo encontraron fue algo de suerte como siempre, normalmente no estaban buscando un fallo del SO si no de de otra cosa, pero no se sabe si otras personas estaban explotando ese fallo mucho antes, porque es lo que pasa hoy en dia, ya no se busca ganarse fama reportando fallos, economicamente pagan por estos fallos en otros lados para otras cosas.

que sacan con hacer publico un fallo?

desprestigio no le veo nada mas, porque asi ms no tuviera la solucion, que ganan permitiendo que se realicen ataques publicandolo?

Porque google si no se ha preocupado por parchar el fallo de WebView en todas las versiones que aun soportan?

Porque asi hayan pasado tanto tiempo si pide es que el fabricante de cada telefono sea el que resuelva el problema de WebView?

Habla mal que algo queda... dicen por alli

Google compromete la seguridad de miles de usuarios al dejar de dar soporte WebView
http://www.elandroidelibre.com/2015...usuarios-al-dejar-de-dar-soporte-webview.html

-Morgot- · 13 Ene 2015

al hacer público un fallo se obliga a corregir el problema lo más pronto posible, el deadline de 90 días era precisamente para eso, no pueden decir que por mas grande que sea el hueco una empresa del calibre de MS no lo va a poder arreglar en 3 meses.
Si Google no dice nada perfectamente hubiera seguido el hueco por meses o años, y los usuarios expuestos.
Si a mi me dicen Google le dio 10 días, 15 días, 30 días ahí si dice uno que obra de mala fe, pero 3 meses? Cuantos ataques creen que no se pueden generar en ese tiempo, cuantos pcs alcanzan a ser infectados. Ahí que ser serios no se está hablando de una pyme, es ms y si no se corrige un fallo en 90 días es porque el encargado de hacerlo no está haciendo bien su trabajo.

rparrado · 13 Ene 2015

vuelvo y le pregunto de que sirve publicar el fallo al publico?

para sacar los exploits?

google sabia que ms sacaba el parche el segundo martes de enero que es hoy, y publico el fallo antes ? era tan dificil esperar unos dias?

yo he conocido fallos que no se publican de oracle, y otros grandes fabricantes de bases de datos, y que han durado mucho tiempo por lo complejo del fallo y lo que impacta.

no todos los fallos se pueden solucionar facilmente, pero como dije la pregunta es, si el fallo no lo conocia el publico que podian atacar?

en cambio publicarlo para que ataquen con los exploits?

es que durante los 3 meses que dieron alguien lo pudo explotar?

no, pero ahora si, si las personas no actualizan.

Ese es el punto que algunos ni ven, por defender a google.

eddyglan · 13 Ene 2015

KrLx dijo:
Lo peor es poner peligro a los usuarios haciendo publico la falla y como explotarla, nada bueno los sres de google.

Los que saben como explotar una falla de estas hace mucho que saben de ella.

dcure dijo:
A los fan boys de google esta vez entiendan que se le fue la mano a Google ... como que no entienden q no todas las vulnerabilidades son iguales y que no todas se pueden parchar en 30 dias. Eso que hizo Google es desleal y poco etico mas cuando Microsoft pidió tiempo extra. Lo dice un linuxero dede hace mas de 7 años

Quizás no en 30 días pero 90 son más que suficientes.

p3loso · 14 Ene 2015

La verdad me pareció un poco desacertada la actitud de google, máxime cuando microsoft pidió solamente un par de días para lanzar la actualización, deberían hacerle lo mismo con El lollipop a ver si lo sueltan rápido [emoji87]
Por otro lado creo que no somos ni mucho menos los mas indicados para cuestionar si 90 son o no suficientes para corregir el fallo.

Cracktrix · 14 Ene 2015

Supongo que si todos los ingenieros de Microsoft fueran como los ingenieros en programación que leo por estos lados, eso en 30 dias lo hubieran solucionado, lo gracioso del asunto es que ni sabran en concreto que tipo de error es, ni en que módulo del sistema operativo se inicia, si mucho sabran como reproducirlo y eso que siguiendo las "instrucciones" que público google. Lo que queda en el aire es ¿Google habra enviado todos los datos obtenidos respecto al fallo encontrado? No sé, ese ultimo párrafo de la nota deja cabida a alguna que otra suspicacia.

Enviado desde mi SAMSUNG-SGH-I537

Bitutles · 14 Ene 2015

danielc1657 dijo:
Yo no digo que Linux sea perfecto, ni android, ni muchísimo menos mac (Que es el que menos me gusta de todos y jamás lo usaría a menos que me pagaran por ello)
Pero, los ataques que Ud. menciona son en su inmenza mayoría (por no decir todos) culpa de los usuarios y/o de los prestadores de servicios de hosting, no del S.O.

Incorrecta/pobre/inexperta configuración de APACHE (El principal problema)

Inyección SQL

contraseñas débiles

Denegación del servicio

fuerza bruta

Eso sería como decir que es culpa de Microsoft cuando atacan un servidor con IIS mal configurado.
Reconozco que Microsoft avanzó inmensamente con Windows 7 y 8, pero en este caso específico yo creo el servicio que le prestó google de hacer pruebas (qué cuesta unos cuantos miles de $$$), de darle 90 días antes de publicarlo (pudiendo haber aprovechado la ocasión inmediatamente), no fué para nada desleal.

Cierto esas son algunas de las debilidades, pero hay huecos de seguridad en php que no se han corregido, y estan "pendientes" ya hace un buen rato. Aca no se trata de alavar o desmeritar un sistema, llevo trabajando con linux, y sistemas unix ya hace un buenos años cero microsoft, pero no se puede ser tan ciego para no reconocer la verdadera intencion detras de una accion como esta.

Y sin importar que SO hubiera tenido la vulnerabilidad la irresponsabilidad de google al realizar esta accion fue irresponsable, no todos actualizan su PC sagradamente los segundos martes de cada mes, y menos en las empresas grandes donde las politicas de actualizacion y de cambios pueden llevar meses en ser aprobadas. La discusion de este parrafo no se basa en que SO es mas seguro, si no en la decision de google, si leen con atencion en el noticia no se enfocan en el como se vulnera si no en la publicacion de google y de como se realizo esta.

danielc1657 · 14 Ene 2015

Bitutles dijo:
Cierto esas son algunas de las debilidades, pero hay huecos de seguridad en php que no se han corregido, y estan "pendientes" ya hace un buen rato. Aca no se trata de alavar o desmeritar un sistema, llevo trabajando con linux, y sistemas unix ya hace un buenos años cero microsoft, pero no se puede ser tan ciego para no reconocer la verdadera intencion detras de una accion como esta.

Y sin importar que SO hubiera tenido la vulnerabilidad la irresponsabilidad de google al realizar esta accion fue irresponsable, no todos actualizan su PC sagradamente los segundos martes de cada mes, y menos en las empresas grandes donde las politicas de actualizacion y de cambios pueden llevar meses en ser aprobadas. La discusion de este parrafo no se basa en que SO es mas seguro, si no en la decision de google, si leen con atencion en el noticia no se enfocan en el como se vulnera si no en la publicacion de google y de como se realizo esta.

Hoy estuve revisando lo que dicen las actualizaciones para ese problema y vean lo que publican en Microsoft:

Esta actualización de seguridad resuelve una vulnerabilidad conocida de forma privada en Windows. Esta vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en el sistema y ejecuta una aplicación especialmente diseñada. Un atacante autenticado que explote con éxito esta vulnerabilidad podría aprovechar el servicio de perfil de usuario de Windows (ProfSvc) para cargar los subárboles del registro que se asocian a otras cuentas de usuario y potencialmente ejecutar programas con permisos elevados. Un atacante debe tener credenciales de inicio de sesión válidas y ser capaz de iniciar sesión localmente para aprovechar la vulnerabilidad.

fuente:
http://support.microsoft.com/kb/3019215
http://support.microsoft.com/kb/3019978
http://support.microsoft.com/kb/3021674
http://support.microsoft.com/kb/3022777
http://support.microsoft.com/kb/3023266

Solo es cuestión de seleccionar la actualización en microsoft update y hacer clic en "más información".
De esta manera las empresas que no realizan actualizaciones inmediatamente por sus propias políticas y aquellos (tal vez millones) de usuarios que no actualizan su sistema constantemente o nunca, van a ser vulnerables, bien sea por la publicación de GOOGLE hace 3 días o por la de microsoft de ayer.
Por demás está decir que es muy posible que algunos hackers experimentados hayan conocido esta vulnerabilidad antes de ser publicada.

No soy google-fan, de hecho me recontra Emput@ las caidas en su servicio y la lentidud que se produce en algunas ocasiones, pero este favor que le hicieron a microsoft está lejos de ser desleal. En mi opinión.

jared dourden · 14 Ene 2015

que raro en este bello mundo, hay que matar al mensajero no buscar al verdadero culpable. si fuera al contrario y microsoft le encontrara un error a google pues que le apliquen la misma (90 dias mas que suficiente). nosotros somos los usuarios de ambas compañias. eso de preocuparse por la imagen de una empresa es de fanaticos que las siguen como religiones.

starex_rex · 14 Ene 2015

Personalmente pienso que estuvo bien echo y pienso también que 3 meses es tiempo suficiente para una empresa como MS para corregir un BUG en este sistema. La cosa es que nosotros estamos tan acostumbrados a pedir canoa que nos choca que no la den cuando hay un plazo. Además porque se embejucan si antes le están diciendo que tienen un error.

dope · 14 Ene 2015

amores dijo:
WTF?? Eso qué tiene que ver? 30 días para probar un producto por el cual NO ha pagado...

es x-throne. debes reírte y alabarlo no criticarlo.

rparrado · 14 Ene 2015

yo creo que necesitaba una cortina de humo por el problema de WebView que se le vino encima y que ahora trata de que los fabricantes solucionen... aqui no van a pasar 90 dias, si no que google dijo que ellos no iban a parchar la falla.

starex_rex dijo:
... Además porque se embejucan si antes le están diciendo que tienen un error.

claro, perjudicando al usuario, o acaso perjudican a alguien mas?

-Morgot- · 14 Ene 2015

rparrado dijo:
yo creo que necesitaba una cortina de humo por el problema de WebView que se le vino encima y que ahora trata de que los fabricantes solucionen... aqui no van a pasar 90 dias, si no que google dijo que ellos no iban a parchar la falla.

claro, perjudicando al usuario, o acaso perjudican a alguien mas?

Primero los que tiraron a los medios la noticia ha sido el mismo MS no Google. Fue un ingeniero de Ms el que salio a poner en conocimiento publico lo sucedido, dandole mas trasendencia al fallo.
Segundo, por que no deja de mezclar cosas y hace una noticia aparte para lo de WebView y alla se discute eso, aca estamos hablando de otra cosa.

tercero, al hacer de conocimiento publico el fallo contribuye a mejorar la seguridad de los sistemas, no solo informando y poniendo presion en las empresas para la solucion del bug, ahi que notar que no solo con parches se solucionan los huecos, un IT administrator puede tomar medidas preventivas mientras sale un parche y se corrobora que este efectivamente soluciona el problema.

Nadie piensa que hace solo 90 dias se descubrio, cuanto tiempo llevaba ya, y cuantos posibles ataques pudieron ser generados a traves de el. Porque un grupo que lleva 6 meses trabajando encuentra fallos en un producto que tiene MS hace años, y ellos no?

rparrado · 14 Ene 2015

-Morgot- dijo:
Primero los que tiraron a los medios la noticia ha sido el mismo MS no Google. Fue un ingeniero de Ms el que salio a poner en conocimiento publico lo sucedido, dandole mas trasendencia al fallo.

Esta seguro?, mire la pagina de google la fecha de publicacion de como explotar la vulnerabilidad, y mire cuando le reclamaron.

Mire que el que encontro la falla publico un ejemplo de como cargar la calculadora usando el exploit, para elevar los privilegios.

Dio el ejemplo total para poder usar el fallo, eso para usted es valido?
vuelvo y le pregunto quienes son los perjudicados?
ms? google? o los usuarios?

-Morgot- dijo:
Segundo, por que no deja de mezclar cosas y hace una noticia aparte para lo de WebView y alla se discute eso, aca estamos hablando de otra cosa.

Estamos hablando de lo mismo, de cuando se debe sacar esto al publico, mas cuando publican la forma de usar el exploit, y lo de Webview es solo un ejemplo de que no se debe realizar, ya que los exploit ya estan publicados.

-Morgot- dijo:
tercero, al hacer de conocimiento publico el fallo contribuye a mejorar la seguridad de los sistemas, no solo informando y poniendo presion en las empresas para la solucion del bug, ahi que notar que no solo con parches se solucionan los huecos, un IT administrator puede tomar medidas preventivas mientras sale un parche y se corrobora que este efectivamente soluciona el problema.

Y como cree que un administrador IT puede prever el fallo?
Probando el exploit? Donde publico el de google como evitarlo?
Expliqueme como contribuye el mejorar la seguridad de los sistemas el publicar el fallo y como usarlo para explotarlo?

-Morgot- dijo:
Nadie piensa que hace solo 90 dias se descubrio, cuanto tiempo llevaba ya, y cuantos posibles ataques pudieron ser generados a traves de el. Porque un grupo que lleva 6 meses trabajando encuentra fallos en un producto que tiene MS hace años, y ellos no?

sabe usted cuantos años crearon TCP y cuantos años crearon IP, y siguen encontrando fallos?

leyo del fallo que hace poco le toco a cada fabricante proteger?

Cuantos años llevan funcionando con esto y nadie de la industria se dio cuenta?

la seguridad no es como usted cree...

ColombiaExpress · 14 Ene 2015

De las noticias que disfruta @VektorY

-Morgot- · 14 Ene 2015

rparrado dijo:
Esta seguro?, mire la pagina de google la fecha de publicacion de como explotar la vulnerabilidad, y mire cuando le reclamaron.

Mire que el que encontro la falla publico un ejemplo de como cargar la calculadora usando el exploit, para elevar los privilegios.

Dio el ejemplo total para poder usar el fallo, eso para usted es valido?
vuelvo y le pregunto quienes son los perjudicados?
ms? google? o los usuarios?

Aca esta la publicacion del investigador en la pagina de Google Security Research, no encontre otra referencia oficial, me gustaria ver la que ud menciona por favor.
https://code.google.com/p/google-security-research/issues/detail?id=123

Mire, desde mi punto de vista, huecos de seguridad a MS le descubren y le publican casi que a diario, si lo hubiese hecho cualquier otro, un investigador independiente, etc, las noticias serian hay un hueco, MS acepta que hay un hueco, MS trabaja en corregirlo, y meses despues cuando todos lo olvidan MS corrige fallo.
El asunto aca es que ellos y muchos mas salen a satanizar a google por darle la 4ta parte de un año, (politica que definieron desde el nacimiento de ProjectZero para todos los potenciales productos bajo investigacion) para corregir dicho fallo, para algunos google pudo esperar unos dias, pero me pregunto,
acaso todo el mundo actualiza su SO dedicadamente los martes que MS publica?
Si MS sabia del fallo y la politica de ProjectZero porque no adelantaban ellos su fecha de update?

rparrado dijo:
Estamos hablando de lo mismo, de cuando se debe sacar esto al publico, mas cuando publican la forma de usar el exploit, y lo de Webview es solo un ejemplo de que no se debe realizar, ya que los exploit ya estan publicados.

En este topic las unicas referencias a Webview las hace ud, por favor mantegamonos en el tema.

rparrado dijo:
Y como cree que un administrador IT puede prever el fallo?
Probando el exploit? Donde publico el de google como evitarlo?
Expliqueme como contribuye el mejorar la seguridad de los sistemas el publicar el fallo y como usarlo para explotarlo?

Si a ud le dicen no pase por esa cuadra porque lo roban, lo hace tomar precauciones y buscar rutas alternativas o ud igual pasaria por ahi, o preferiria que no le digan nada y cruzar a ciegas?

rparrado dijo:
sabe usted cuantos años crearon TCP y cuantos años crearon IP, y siguen encontrando fallos?
leyo del fallo que hace poco le toco a cada fabricante proteger?
Cuantos años llevan funcionando con esto y nadie de la industria se dio cuenta?
la seguridad no es como usted cree...

Eso es cierto, fallos se van destapando dia a dia, por eso iniciativas como PZ buscan que las empresas se tomen el tema mas enserio, trabajan para hacer que los SO y los navegadores sean mas seguros para nosotros los usuarios.

El dilema para mi es Google pudo esperar o MS pudo anticipar su fecha de lanzamiento, ambas compañias tienen sus politicas y era una guerra de poder ceder, sin embargo para mi que una empresa seria y del calibre de MS tome tanto tiempo en lanzar un fix no tiene presentacion.

rparrado · 14 Ene 2015

es que no es lo mismo actualizar un equipo que millones en las empresas

no es que porque salga el martes ya se aprueba y se empieza a distribuir, se tienen que hacer pruebas, control de cambios y otras cosas que usted como que desconoce

google convirtio un bug en un zero-day solo por que?

lo unico que sirvio es que muchos en este momento esten vulnerables porque no parchan

busque en pastebin, metaexploit y muchos lugares donde ya anda el exploit

lo unico es que van a agrandar la base de datos de defacement con esto

si eso funcionara lo de publicar los fallos al publico, no se verian tantos ataques a servidores web, como lo registra dia a dia www.zone-h.org/archive

donde se ve que esos que creen que con solo poner algo como viene ya queda seguro, o donde si no parchan se ataca en barrido IPs de servidores y se vulneran facilmente, porque alguien publico un exploit.

Bitutles · 14 Ene 2015

-Morgot- dijo:
Aca esta la publicacion del investigador en la pagina de Google Security Research, no encontre otra referencia oficial, me gustaria ver la que ud menciona por favor.
https://code.google.com/p/google-security-research/issues/detail?id=123

Mire, desde mi punto de vista, huecos de seguridad a MS le descubren y le publican casi que a diario, si lo hubiese hecho cualquier otro, un investigador independiente, etc, las noticias serian hay un hueco, MS acepta que hay un hueco, MS trabaja en corregirlo, y meses despues cuando todos lo olvidan MS corrige fallo.
El asunto aca es que ellos y muchos mas salen a satanizar a google por darle la 4ta parte de un año, (politica que definieron desde el nacimiento de ProjectZero para todos los potenciales productos bajo investigacion) para corregir dicho fallo, para algunos google pudo esperar unos dias, pero me pregunto,
acaso todo el mundo actualiza su SO dedicadamente los martes que MS publica?
Si MS sabia del fallo y la politica de ProjectZero porque no adelantaban ellos su fecha de update?

En este topic las unicas referencias a Webview las hace ud, por favor mantegamonos en el tema.

Si a ud le dicen no pase por esa cuadra porque lo roban, lo hace tomar precauciones y buscar rutas alternativas o ud igual pasaria por ahi, o preferiria que no le digan nada y cruzar a ciegas?

Eso es cierto, fallos se van destapando dia a dia, por eso iniciativas como PZ buscan que las empresas se tomen el tema mas enserio, trabajan para hacer que los SO y los navegadores sean mas seguros para nosotros los usuarios.

El dilema para mi es Google pudo esperar o MS pudo anticipar su fecha de lanzamiento, ambas compañias tienen sus politicas y era una guerra de poder ceder, sin embargo para mi que una empresa seria y del calibre de MS tome tanto tiempo en lanzar un fix no tiene presentacion.

Tanto tiempo? su escala es subjetiva, ademas esta basada en la ignorancia, ya que todos aca desconocemos los procesos internos de microsoft, o la dificultad de parcheado, yo podria decir que una empresa como google como saca un producto para telefonos con tantos bugs y brechas de seguridad en cada actualizacion y se hace de la vista gorda sobre esto, por que no lo hacen las correciones en 30 dias, o en 15, o en una semana.

Facilmente el proceso de cambios puede tomarle uno o dos meses a una empresa del tamaño de microsoft, detras de cada cambio se mueve un subconjunto de temas de procedimientos que estan en la obligacion de cumplir, he tenido implementaciones en empresas donde el comite de cambios se toma 2 meses para aprobar un cambio, por pequeño que sea a menos que sea un cambio estandar o de emergencia.

A esto sumemosle el tiempo de desarrollo, e investigacion. Realmente juzgar el tiempo que se demoran en corregir el hueco es totalmente subjetivo, la intencion si es criticable, Microsoft dedico tiempo a corregirlo si o no?.

Esa mentalidad de "deberieron adelantar el fix" es muy colombiana que justifica la chambonada, o la incapacidad de planear en la urgencia.