Microsoft vs. Google: publican una vulnerabilidad no parcheada de Chrome

Software

Microsoft y Google no se llevan particularmente bien, sobre todo en el tema referente a los equipos que publican vulnerabilidades de su software. El primero que tocó un poco la moral al otro fue Google a través de Project Zero. Este equipo, que analiza software en busca de bugs, publicó una vulnerabilidad de Windows antes de que Microsoft tuviera tiempo de parchearla.

Microsoft quiere devolvérsela a Google

A Terry Myerson, vicepresidente ejecutivo de la sección de Windows, le enfureció tanto esto publicó una entrada en el blog de seguridad de Microsoft sobre lo mal que lo hizo Google. El resentimiento se ha mantenido hasta el día de hoy, y casi un año después, Microsoft ha hecho justo lo que hizo Google en aquel entonces: ha publicado una vulnerabilidad no parcheada de Google Chrome.

google-microsoft

En concreto, Microsoft descubrió una vulnerabilidad de ejecución remota en Chrome el pasado mes de septiembre, y ahora afirman que la han publicado por propia responsabilidad y para forzar que Google la parcheé. En el post también aprovechan para criticar la manera en la que Google aplica sus parches de seguridad. Así, esta grave vulnerabilidad se encuentra parcheada en la versión beta de Chrome, pero no en la versión estable del navegador que ha estado un mes sin parchear.

El enfoque de Google es lo que no termina de gustar a Microsoft. Google publica en GitHub el código necesario para aplicar el parche antes de que se publique la solución en la versión estable. Gracias a esto, un atacante tiene alrededor de un mes para ver qué fallo es el que está parcheando esa vulnerabilidad y pasar a explotarla.

Google publica el código de las soluciones antes de que esté disponible en versiones estables

Microsoft afirma que siempre informa de los fallos de manera privada, y una vez aplicados los parches es cuando dan detalles sobre las vulnerabilidades. Sin embargo, no fueron tan abiertos cuando su propia base de datos donde recogen todas las vulnerabilidades de su software fue hackeada en 2013, porque no informaron de ello a nadie.

Ambas compañías se toman muy en serio la seguridad de sus productos, y dependiendo del software a parchear una suele ser más rápida que la otra. Así, Microsoft lanza parches para sus sistemas operativos con muchísima rapidez, y fueron los primeros en parchear el fallo del WiFi WPA2 una semana antes de que se conociera. Sin embargo, Google va a tardar en parchear móviles Android unas semanas más, ya que no empezará a lanzar la actualización de seguridad hasta el 6 de noviembre.

Google ha sido criticada normalmente por este tipo de prácticas a la hora de publicar las vulnerabilidades, ya que los ingenieros las publican siete días antes de que se informe a los fabricantes. Entre estas vulnerabilidades están las que Project Zero encuentra en Windows, y el hecho de que se publiquen antes de que Microsoft pueda parchearlas no sienta nada bien en Redmond. Por ello, no es de extrañar que a la mínima oportunidad hagan cosas como las de hoy.

Escrito por Alberto García

Fuente > The Verge

Continúa leyendo
  • Vaya juego que se traen estos dos. Me parece que debería ser en privado y después generar el parche enseguida.

    • espectro

      Pasa que Google dijo: Windows tiene una vulnerabilidad y la hizo pública.
      En cambio Microsoft dijo: Google Chrome tiene una vulnerabilidad, y no la publicó, se la envío en privado a Google.

  • Que tiene google contra mi favorita compañía Microsoft? google por lo visto le guarda mucho rencor a Microsoft, y el cual carece de fundamento racional, como dice el dicho “ojo por ojo, y diente por diente”…

  • Pingback: Google ahora te paga si encuentras fallos en apps de Android()

  • Fernando Díaz

    “Google va a tardar en parchear móviles Android unas semanas más” jajajaja 🤣