Microsoft descontenta con Google y la publicación de una vulnerabilidad en Windows 8.1

DPlqV4n.jpg


Recapitulemos. El pasado verano, Google anunció la formación de un grupo de investigación denominado 'Project Zero' encargado de detectar y alertar sobre problemas de seguridad en su software o en el de otras compañías. El 30 de septiembre, este equipo alertó a Microsoft de la existencia de una vulnerabilidad en Windows 8.1 que podría permitir a terceros hacerse con el control de una máquina con dicho sistema operativo. Lo hizo acompañando el aviso de un tiempo límite de 90 días para que los de Redmond la solucionasen antes de hacerla completamente pública.

Esto último fue lo que terminó por ocurrir la semana pasada. Transcurridos esos 90 días sin que Microsoft pudiese terminar de solucionarlo, la vulnerabilidad fue hecha pública por el grupo de investigación de Google, permitiendo a cualquiera conocerla y detallando como podría ser explotada. Eso no ha gustado en Redmond, donde ya estaban trabajando en una solución. Tan poco ha gustado que Chris Betz, senior director en el Microsoft Security Response Center (MSRC), ha decidido publicar una nota lamentando la acción de los de Mountain View y llamando a un mejor entendimiento entre los equipos de seguridad de las compañías.

Betz se muestra muy crítico con la actuación de Google en el asunto. Al parecer, desde Redmond habrían solicitado al equipo de 'Project Zero' que retrasasen la publicación del fallo hasta el 13 de enero, momento en el que tenían previsto distribuir una solución mediante sus conocidos parches de los martes. Por desgracia, los de Mountain View no cumplieron con la petición y eso ha motivado su respuesta defendiendo una mejor forma de colaborar en este tipo de situaciones.

En Microsoft consideran equivocada la estrategia seguida por Google de tener a un equipo de investigación encontrando vulnerabilidades en productos de la competencia, añadiendo presión con un tiempo límite para que se solucionen y amenazando con su publicación en caso de que se supere. No todas las vulnerabilidades suponen un mismo nivel de amenaza y a menudo no tienen solución rápida o su aplicación es más o menos complicada, por lo que instaurar una cuenta atrás para su publicación no es la mejor forma de incentivar la solución de las mismas.

Desde Redmond abogan más porque los investigadores alerten privadamente a las compañías de las posibles vulnerabilidades y trabajen con ellas en una solución sin exigir límites temporales ni amenazar con su publicación.

Fuente
 
Haz clic para expandir...
rparrado dijo:
yo creo que necesitaba una cortina de humo por el problema de WebView que se le vino encima y que ahora trata de que los fabricantes solucionen... aqui no van a pasar 90 dias, si no que google dijo que ellos no iban a parchar la falla.

claro, perjudicando al usuario, o acaso perjudican a alguien mas?
Haz clic para expandir...
El problema de WebView lo arregló Google hace un año. El parche se llama Android 4.4 Kit Kat.

Entonces si, la bola está al lado de los de fabricantes y proveedores de telefonía.

Por acá un artículo interesante que deja claro porque Google tomó esa decisión:
http://www.androidcentral.com/android-webview-security


Bitutles dijo:
Tanto tiempo? su escala es subjetiva, ademas esta basada en la ignorancia, ya que todos aca desconocemos los procesos internos de microsoft, o la dificultad de parcheado, yo podria decir que una empresa como google como saca un producto para telefonos con tantos bugs y brechas de seguridad en cada actualizacion y se hace de la vista gorda sobre esto, por que no lo hacen las correciones en 30 dias, o en 15, o en una semana.

Facilmente el proceso de cambios puede tomarle uno o dos meses a una empresa del tamaño de microsoft, detras de cada cambio se mueve un subconjunto de temas de procedimientos que estan en la obligacion de cumplir, he tenido implementaciones en empresas donde el comite de cambios se toma 2 meses para aprobar un cambio, por pequeño que sea a menos que sea un cambio estandar o de emergencia.

A esto sumemosle el tiempo de desarrollo, e investigacion. Realmente juzgar el tiempo que se demoran en corregir el hueco es totalmente subjetivo, la intencion si es criticable, Microsoft dedico tiempo a corregirlo si o no?.

Esa mentalidad de "deberieron adelantar el fix" es muy colombiana que justifica la chambonada, o la incapacidad de planear en la urgencia.
Haz clic para expandir...
Es cierto, una compañía del tamaño de Microsoft puede demorarse mucho en moverse a hacer cualquier cosa. Lo cual es un llamado de atención que se le ha estado haciendo durante años. Por eso es que llegaron 3-4 años tarde a competir en el mercado móvil y luego se preguntan porque no les va bien.
Si para una compañía 3 meses es muy poco tiempo pues deben abrir los ojos y ver que para sus usuarios, 3 meses es bastante tiempo.
 
  • Me gusta
Reacciones: reader y jared dourden
Google y Microsoft se tienen su rasquiñita desde hace tiempo, recuerden la propaganda que sacaron con la gente de 'El precio de la Historia' sobre los Chromebooks.
Eso sí no fue nada disimulado
 
esto salio con otra hora por eso lo vuelvo a copiar

----
es que no es lo mismo actualizar un equipo que millones en las empresas

no es que porque salga el martes ya se aprueba y se empieza a distribuir, se tienen que hacer pruebas, control de cambios y otras cosas que usted como que desconoce

google convirtio un bug en un zero-day solo por que?

lo unico que sirvio es que muchos en este momento esten vulnerables porque no parchan

busque en pastebin, metaexploit y muchos lugares donde ya anda el exploit

lo unico es que van a agrandar la base de datos de defacement con esto

si eso funcionara lo de publicar los fallos al publico, no se verian tantos ataques a servidores web, como lo registra dia a dia www.zone-h.org/archive

donde se ve que esos que creen que con solo poner algo como viene ya queda seguro, o donde si no parchan se ataca en barrido IPs de servidores y se vulneran facilmente, porque alguien publico un exploit.

----

eddyglan dijo:
El problema de WebView lo arregló Google hace un año. El parche se llama Android 4.4 Kit Kat.

Entonces si, la bola está al lado de los de fabricantes y proveedores de telefonía.

Por acá un artículo interesante que deja claro porque Google tomó esa decisión:
http://www.androidcentral.com/android-webview-security



Es cierto, una compañía del tamaño de Microsoft puede demorarse mucho en moverse a hacer cualquier cosa. Lo cual es un llamado de atención que se le ha estado haciendo durante años. Por eso es que llegaron 3-4 años tarde a competir en el mercado móvil y luego se preguntan porque no les va bien.
Si para una compañía 3 meses es muy poco tiempo pues deben abrir los ojos y ver que para sus usuarios, 3 meses es bastante tiempo.
Haz clic para expandir...

Si Google no actualiza o corrige en versiones anteriores no es tan impactante porque los aplicativos que fallen o que sean impactados en un ataque no son tan importantes

Pero donde ms saque un parche que deje sin funcionar algo que miles de empresas o algun software es un gran problema.

Porque es que la mayoria de software y en especial el empresarial esta basado en windows, que corre sobre millones de mezclas de hardware programado sobre muchos lenguajes.

Donde una funcionalidad de estas deje de hacer funcionar algo, el problema si es mayor, y noten que ms tiene que seguir soportando desarrollos realizados hasta de las epocas de DOS, cosas realizadas por ejemplo en dbase, clipper por nombrar algunos, algo que no se ve en otros sistemas, por ejemplo el mismo apple ya solo soporta lo que funciona sobre INTEL, y muchos desarrollos no existen si no para su anterior plataforma.

Se de aplicativos tan viejos que no los cambian por muchas razones, y software de automatizacion industrial igual (empiecen por los cajeros que aun corren en XP)...

Eso es lo que se debe ver, y windows es un software que cualquier parche puede dejar sin funcionalidad muchas variables...
 
  • Me gusta
Reacciones: ––•(ByAlaN)•–– y Cracktrix
Seguro los de M$ lo que pensaban hacer es corregir la falla pero en windows 10 y dejar el windows 8.1 jodido, para que los marranos de siempre tengamos que seguir comprando ese sistema lleno de bugs.
Que lastima que M$ no sea capaz de encontrar vulnerabilidades en su costoso sistema y tengan otras empresas como google de preocuparse de la seguridad de este sistema poco optimizado y poco depurado.
Buena por google, ojala siga ayudando a que se muevan estos pelmazos con los parches!

Enviado desde mi XT1032
 
Mi punto de vista es que si habia un fallo y MS no lo soluciono es por que sencillamente no lo conocia, mal por que para eso debe tener un grupo de trabajo, pero de verdad MUCHOS CREEN que Google tiene un grupo de investigación y desarrollo buscando vulnerabilidades gratis, se tiene que ser muy inocente en eso, el fondo es claro, darle mala fama a la competencia, Hombre, si de verdad estuvieran comprometidos con el tema de seguridad no sacarian su SO para moviles el cual es el mas usado con los diferentes fallos que tiene y que ha tenido.

En conclusión, para Mi lo reprochable es la doble moral de Google y la fama que se esta haciendo, si bien MS lo hacia antes, hoy dada la imagen del Sr. Gates muestra otra cosa.
 
  • Me gusta
Reacciones: rparrado y Bitutles
La imagen del bill gate$ siempre será la misma, solo por que haga una maquinita que filtre el agua de la kaka y haga unas cuantas donaciones no significa que tengamos que verlo diferente. La damier así se le unte perfume no deja de ser damier y oler mal!


Enviado desde mi iPad utilizando Tapatalk
 
.:10101:. dijo:
La imagen del bill gate$ siempre será la misma, solo por que haga una maquinita que filtre el agua de la kaka y haga unas cuantas donaciones no significa que tengamos que verlo diferente. La damier así se le unte perfume no deja de ser damier y oler mal!


Enviado desde mi iPad utilizando Tapatalk
Haz clic para expandir...
Interesante pensamiento, ahora dígame, usted ha tratado directamente con Gates?? O al menos lo distingue en persona?? Por ultimo, es necesario meterlo en un debate que probablemente ni le interese, pues según tengo entendido Gates poco o nada tiene que ver con este cuento, ya que, según la prensa y él mismo mediante comunicados, esta dedicado totalmente a Bill & Melinda Gates Fundation.

Para mí, esto esta totalmente offtopic
 
  • Me gusta
Reacciones: rparrado y eddyglan
.:10101:. dijo:
Seguro los de M$ lo que pensaban hacer es corregir la falla pero en windows 10 y dejar el windows 8.1 jodido, para que los marranos de siempre tengamos que seguir comprando ese sistema lleno de bugs.
Que lastima que M$ no sea capaz de encontrar vulnerabilidades en su costoso sistema y tengan otras empresas como google de preocuparse de la seguridad de este sistema poco optimizado y poco depurado.
Buena por google, ojala siga ayudando a que se muevan estos pelmazos con los parches!

Enviado desde mi XT1032
Haz clic para expandir...

.:10101:. dijo:
La imagen del bill gate$ siempre será la misma, solo por que haga una maquinita que filtre el agua de la kaka y haga unas cuantas donaciones no significa que tengamos que verlo diferente. La damier así se le unte perfume no deja de ser damier y oler mal!


Enviado desde mi iPad utilizando Tapatalk
Haz clic para expandir...

Realmente sus opiniones de odiador de ms, cree que alguien se las cree...

siga en su mundo apple porque de resto ni entiende como funciona esto...

deberia armar grupo con la pitonisa porque sus criterios son muy pobres
 
Tras de que los buena papa de Google le dicen cuál es el error y les dan tres meses, parece que en ese tiempo lo único que se dedicaron a hacer fue esto:


Y todo por andar mirando cómo le van a joder la vida al usuario en la próxima versión de Windows.

Deberían no complicarse sacando parches los martes de cada mes y hacer como Google, que le hecha toda la culpa a los fabricantes por no actualizar. XDD
 

Los últimos mensajes

Los últimos temas

Arriba Pie
Atrás