Google sigue publicando vulnerabilidades de Windows sin parchear

Google ha publicado esta semana dos nuevas vulnerabilidades o-Day en Windows que todavía no han sido parcheadas por Microsoft. La historia se repite y de nada ha valido las críticas de Microsoft a Google de «irresponsabilidad» por esta estrategia.

Como sabes, Google formó un grupo de investigadores de seguridad denominado Project Zero encargado de buscar vulnerabilidades en todo tipo de software. El grupo tiene una política de divulgación de 90 días desde que se informa al productor de software. Y no parece que vayan a ampliar el periodo por mucho que Microsoft.

La vulnerabilidad más importante de las dos nuevas publicadas reside en el cifrado de memoria de la función CryptProtectMemory. Afecta a sistemas con Windows 7 y Windows 8.1 y no sabemos su alcance y gravedad.

Dicen desde Google que “Microsoft les informó que esta segunda vulnerabilidad iba a ser parcheada en el boletín pero tuvo que ser aplazada por un problema de compatibilidad”. 

Google invierte dinero en Project Zero para encontrar vulnerabilidades en todo tipo de software e informa de ellos a los fabricantes lo que siempre es positivo. La cuestión a aclarar es si lo hace es por el bien de la seguridad de los usuarios o para meter presión a los competidores como criticó el ejecutivo de Microsoft.

También a debate si 90 días son suficientes para parchear una vunerabilidad o si Google debería esperar a la publicación del parche más allá del periodo fijado. El responsable del Centro de respuesta de seguridad de Microsoft, Chris Betz, dice que no todas las vulnerabilidades son iguales y que el proceso puede ser un «extenso, laborioso y complejo proceso». La visión de Google es distinta pensando que si no existe hay una divulgación pública la solución se eternizaría. ¿Quién tiene razón?