Google revela falla en Windows 8.1 luego de los 90 días de tope

Google ha publicado detalles de una falla en Windows 8.1 que podía hacer que los usuarios de nivel más bajo obtengan el control administrativo total de un equipo que ejecuta el sistema operativo, informa Slash Gear.

La falla fue expuesta como parte del proyecto Project Zero de Google, que rastrea bugs en software y reporta exploits a los propietarios, para que puedan ser solucionados. 90 días más tarde, Google publica automáticamente el exploit después de que sus efectos han sido neutralizados. En este caso, sin embargo, Google parece haber publicado el error a pesar de Microsoft aún no ha emitido una solución para él, según explica SC Magazine.

La revelación del exploit en Windows 8.1 exploit ha dado lugar a un debate en Internet sobre los riesgos de publicar bugs en forma automática luego de 90 días. En respuesta a los comentarios sobre Project Zero, el Ingeniero de Seguridad de Google Ben Hawkes agradeció a los usuarios por la “discusión robusta” sobre la política, pero defendió la decisión de Google de atenerse a la fecha límite de 90 días.

Hawkes escribió: “Project Zero cree que los plazos de divulgación son actualmenteel abordaje ópimo para la seguridad del usuario -le da a fabricantes de software una cantidad de tiempo justa y razonable para ejercitar su proceso de manejo de vulnerabilidades, al tiempo que respeta los derechos de usuarios a aprender y entender los riesgos a los que se enfrentan”.

“Vamos a monitorear los efectos de esta política muy de cerca (…) Estamos contentos de decir que los resultados iniciales han demostrado que la mayoría de los bugs que hemos reportado bajo la fecha tope de divulgación se solucionan dentro del plazo”, añadió.

En declaraciones a The Register por correo electrónico, un vocero de Microsoft explicó que la compañía está trabajando en una actualización de seguridad para arreglar el exploit, y agregó: “Es importante notar que para que un potencial atacante explotara potencialmente un sistema, primero necesitaría tener credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local a una máquina específica. Animamos a los clientes a mantener actualizado su software antivirus, instalar todas las actualizaciones de seguridad disponibles y activar el firewall en su ordenador”.

Autor , ESET

  • Me ire a preparar unas palomitas de maiz, buscare un sillon confortable, vere la serie stargate que fue tramitida por 17 años… y luego ire a ver en las noticias, si en serio en la actualizacion lograron arreglar el exploit.

    xD

    Entonces cuando se descubre algo, si entendi bien, se le da un aviso a la empresa y en 90 dias no importa si lo arreglaron o no, siempre lo publican, o luego de los 90 dias es que dan el aviso a la empresa del software, esperando que de pura suerte hubieran detectado el problema…

    • En efecto, lo que sostiene el comunicado es que desde el surgimiento de Project Zero, Google decidió que el procedimiento siempre sería informar al proveedor y darle un plazo de 90 días para que saque un parche.

      Si pasado el plazo no lo hizo, la falla se publica igual.

      Sin dudas, algo polémico… ¿no?

      • Y… si internamente los que propusieron ese proyecto, en los 90 días logran crear una solución al problema, luego de los 90 días sin suceder nada en la empresa del problema, viene el que creo la solución y realiza alguna negociación fuera del proyecto haciéndose pasar por alguien que luego de los 90 días y leyó la noticia hizo algo “rápido”, por la rapidez y lograr una buena estabilidad con su solución, logra sacar una buena remuneración… (sentí mucho blablabla con mi comentario) en fin… los del proyecto no tendrán en mente aprovecharse de los errores de otros.

Síguenos