Microsoft ha criticado a Google por revelar públicamente una vulnerabilidad en Windows 8.1 antes de que tuviera la oportunidad de solucionarla. La falla, que podría permitir a un atacante obtener privilegios elevados en un sistema, fue reportada por el equipo Project Zero de Google el 29 de diciembre de 2023. Sin embargo, Microsoft dijo que solo se le dio un plazo de 90 días para solucionar el problema, que expiró el 27 de enero de 2024.
En una publicación de blog, el director senior de respuesta de seguridad de Microsoft, Chris Betz, dijo que la política de Google de revelar automáticamente fallas de seguridad después de 90 días era “menos como principios y más como un ‘te pillé’, siendo los clientes los que pueden sufrir como resultado”. “. Sostuvo que Google debería haberse coordinado con Microsoft y otros proveedores para garantizar que los clientes estuvieran protegidos antes de hacer públicos los detalles.
Betz también afirmó que Microsoft planeaba publicar una solución para el error el 10 de febrero de 2024, como parte de su ciclo mensual de actualización de seguridad. Dijo que la divulgación de Google había puesto a los clientes en riesgo potencial y no tenía en cuenta la complejidad de probar e implementar parches para millones de dispositivos.
El Proyecto Cero de Google es un equipo de investigadores de seguridad que buscan vulnerabilidades en productos de software populares y las informan a los proveedores. El equipo tiene la política de dar a los proveedores 90 días para solucionar los problemas, después de lo cual publican los detalles técnicos y el código de prueba de concepto en su sitio web. Google dice que esta política está diseñada para mejorar la transparencia y la responsabilidad en la industria de la seguridad y alentar a los proveedores a parchear sus productos más rápido.
Sin embargo, algunos proveedores y expertos en seguridad han criticado a Google por ser demasiado rígido y no tener en cuenta los desafíos del mundo real que plantea el desarrollo y la implementación de parches. También argumentan que Google no debería revelar vulnerabilidades que los piratas informáticos no estén explotando activamente, ya que esto podría darles una ventaja sobre los defensores.
Microsoft y Google se han enfrentado por problemas de seguridad en el pasado. En 2010, Google acusó a Microsoft de copiar sus resultados de búsqueda y utilizarlos en su propio motor de búsqueda, Bing. En 2012, Microsoft acusó a Google de eludir la configuración de privacidad de los usuarios de Internet Explorer y de rastrear sus actividades en línea. En 2013, Microsoft lanzó una campaña llamada “Scroogled”, que criticaba a Google por escanear los correos electrónicos de los usuarios de Gmail con fines publicitarios.
Microsoft ha expresado su decepción con Google por revelar una vulnerabilidad de Windows 8.1 dos días antes de lanzar un parche.
El equipo Project Zero de Google, que busca errores de seguridad en varios productos de software, tiene la política de revelar los detalles de cualquier falla 90 días después de notificar al proveedor.
Por eso, cuando Microsoft fue informado de un problema con Windows 8.1 el 13 de octubre, solicitó a Google que lo mantuviera confidencial hasta el 13 de enero, cuando planeaba implementar una solución como parte de su parche regular del martes.
Sin embargo, Google decidió publicar la información sobre el error (y el código necesario para explotarlo) el 11 de enero.
“Le pedimos a Google que trabaje con nosotros para proteger a los clientes reteniendo detalles hasta que… publiquemos una solución”, escribió el director del Centro de respuesta de seguridad de Microsoft, Chris Betz, en una publicación de blog.
Añadió que este es un momento para que los investigadores de seguridad y las empresas de software colaboren, no para dividirse en estrategias de protección importantes, como la divulgación de vulnerabilidades y su solución.
Microsoft sigue la práctica de Divulgación Coordinada de Vulnerabilidad (CVD), que alienta a quienes los encuentran a informar fallas directamente a los proveedores del producto afectado, con el fin de “limitar el campo de oportunidad para que los clientes y sus datos estén mejor protegidos”, dijo Betz.