Microsoft ha revelado que la divulgación de una vulnerabilidad de seguridad en Windows 8.1 por parte de Google era más un «te pillé» que para proteger a sus usuarios como dice la empresa de Mountain View, también Microsoft añadió que Google debería ser más flexible y estar dispuesto a trabajar con el resto de empresas privadas para ayudar a solucionar estas vulnerabilidades.
El director senior del Centro de Respuesta de Seguridad de Microsoft, Chris Betz, dijo en un blog que Google conocía que Microsoft iba a solucionar el error en uno de los «parches de los martes», sin embargo, Google desveló la vulnerabilidad apenas dos días antes de que saliese este parche a pesar de que Microsoft le pidió que no lo hiciese.
Antes, en un post publicado en el sitio de investigación de seguridad de Google, un investigador reveló la vulnerabilidad e, incluso, la forma de ejecutar el fallo. La vulnerabilidad permite una elevación de privilegios en Windows 8.1, una aplicación de ejemplo que se incluyó que podría lanzar el método fue calc.exe (la calculadora de Windows).
Betz respondió que «solucionar las vulnerabilidades de seguridad puede ser un proceso extenso, laborioso y complejo«, y que Google debería ser más flexible y estar dispuesto a coordinarse con otras empresas por los millones de personas que dependen de sus softwares.
El investigador de Google defendió la divulgación, diciendo que esperaron 90 días antes de dejar saber al mundo cómo explotar la vulnerabilidad, siguiendo la filosofía de divulgación pública de su empresa, que está destinada a presionar a las empresas para que las solucionen más rápidamente.
Betz terminó diciendo que las vulnerabilidad llevadas en privado son más propensas a ser solucionadas y con menos probabilidades de ser explotadas por los «ciberdelincuentes» que las que se dan a conocer públicamente. Sin embargo, es poco probable que Google cambie su filosofía. ¿Qué os parece la postura de Google? ¿Creéis que algún día Google aplicará correctamente el «Don’t be evil»? ¿Ha actuado bien Microsoft en cuanto a velocidad para solucionar la vulnerabilidad?
Vía | Neowin
