Microsoft descontenta amb Google i la publicació d'una vulnerabilitat al Windows 8.1

Recapitulem. L'estiu passat, Google va anunciar la formació d'un grup de recerca anomenat 'Project Zero' encarregat de detectar i alertar sobre problemes de seguretat al seu programari o al d' altres companyies. El 30 de setembre, aquest equip va alertar Microsoft de l'existència de una vulnerabilitat a Windows 8.1 que podria permetre a tercers fer-se amb el control d'una màquina amb aquest sistema operatiu. Ho va fer acompanyant l'avís d'un temps límit de 90 dies perquè els de Redmond la solucionessin abans de fer-la completament pública.

Aquest últim va ser el que va acabar per passar la setmana passada. Transcorreguts aquests 90 dies sense que Microsoft pogués acabar de solucionar-ho, la vulnerabilitat va ser feta pública pel grup de recerca de Google, permetent a qualsevol conèixer-la i detallant com podria ser explotada. Això no ha agradat a Redmond, on ja estaven treballant en una solució. Tan poc ha agradat que Chris Betz, sènior director al Microsoft Security Response Center (MSRC), ha decidit publicar una nota lamentant l'acció dels de Mountain View i trucant a una millor entesa entre els equips de seguretat de les companyies.

Betz es mostra molt crític amb l'actuació de Google a l'assumpte. Pel que sembla, des de Redmond haurien sol·licitat a l'equip de 'Project Zero' que retardessin la publicació de la sentència fins al 13 de gener, moment en què tenien previst distribuir-ne una solució mitjançant els seus coneguts pegats dels dimarts.Malauradament, els de Mountain View no van complir amb la petició i això ha motivat la seva resposta defensant una millor manera de col·laborar en aquest tipus de situacions.

A Microsoft consideren equivocada l'estratègia seguida per Google de tenir un equip de recerca trobant vulnerabilitats en productes de la competència, afegint-hi pressió amb un temps límit perquè se solucionin i amenaçant amb la seva publicació en cas que se superi. No totes les vulnerabilitats suposen un mateix nivell d'amenaça i sovint no tenen solució ràpida o la seva aplicació és més o menys complicada, per la qual cosa instaurar un compte enrere per a la seva publicació no és la millor manera d'incentivar-ne la solució.

Des de Redmond advoquen més perquè els investigadors alertin privadament les companyies de les possibles vulnerabilitats i treballin amb elles en una solució sense exigir límits temporals ni amenaçar amb la seva publicació.

Via | Microsoft