Microsoft aprovechó una vulnerabilidad en Chrome para difundir sus políticas de divulgación.
El año pasado, Google reveló una vulnerabilidad importante de Windows 7 y Windows 8.1, antes de que Microsoft estuviera listo para solucionarla. Los usuarios de ambos sistemas operativos se quejaron con la compañía por dejarlos expuestos a los piratas informáticos hasta que pudieran ofrecer una solución.
Por supuesto, Microsoft no se mostró satisfecho con la política de divulgación de Google e incluso el vicepresidente de Windows, Terry Myerson, llegó a escribir una entrada en el blog de la compañía en la que criticaba a Google por no revelar responsablemente las vulnerabilidades de seguridad.
“Creemos que la participación responsable de la industria tecnológica pone al cliente primero y requiere una divulgación coordinada de la vulnerabilidad . La decisión de Google de revelar estas vulnerabilidades antes de que los parches estén ampliamente disponibles y probados es decepcionante y pone a los clientes en mayor riesgo”, afirmó Terry en el blog.
Buenas prácticas para la industria
Parece que hasta el día de hoy ese resentimiento aún permanece. De acuerdo con The Verge, el mes pasado Microsoft descubrió una vulnerabilidad remota de Chrome y decidió ‘enseñarle’ a Google cómo se hace una divulgación responsable. En una nueva entrada en su blog, el equipo de seguridad de Microsoft describe un problema de ejecución de código remoto en Chrome y también critica el enfoque de Google sobre parches de seguridad.
“Revelamos responsablemente la vulnerabilidad que descubrimos junto con un ‘exploit’ de ejecución remota de código confiable a Google el 14 de septiembre de 2017. Google solucionó el problema en una semana en sus versiones beta de Chrome, pero el canal estable y público permaneció vulnerable durante casi un mes”, según explica Jordan Rabet, miembro del equipo de investigación de seguridad de Microsoft.
La crítica que se hace a Google es precisamente por hacer que el código fuente de la solución esté disponible primero en la versión beta antes de la solución de canal estable. Eso dio a los atacantes un mes para descubrir el defecto. Pero además, la compañía no desaprovecha la oportunidad para señalar que divulgó el error de Chrome de forma privada, y que continuará haciendo esto para promover su enfoque en toda la industria.