google-vs-microsoft

Google el 31 de Octubre del 2016 compartió detalles sobre una falla de seguridad en todos los sistemas operativos Windows actualmente soportados, sólo 10 días después de revelar a Microsoft el 21 de octubre. Para empeorar las cosas, Google dice que es consciente de que esta vulnerabilidad crítica de Windows está siendo activamente explotada in the wild (léase; activo en el mundo real). Eso significa que los atacantes ya han escrito código para este agujero de seguridad específicos y lo utilizan para entrar en sistemas Windows.

Una vulnerabilidad 0-day es una falla de seguridad divulgada públicamente que no era conocida antes. En otras palabras, la empresa que hace el software no ha emitido un parche aún para él. De hecho, Microsoft no ha lanzado un parche ni ha emitido una advertencia para este defecto.

Google describe esta particular vulnerabilidad de Windows como sigue:

La vulnerabilidad de Windows es una escalada de privilegios locales en el kernel de Windows que puede utilizarse como un escape del sandbox de seguridad. Se puede activar a través de la llamada al sistema win32k.sys NtSetWindowLongPtr () para el índice GWLP_ID en un identificador de ventana con GWL_STYLE establecido en WS_CHILD. El sandbox de Chrome bloquea las llamadas al sistema win32k.sys mediante la mitigación de bloqueo de Win32k en Windows 10, lo que impide la explotación de esta vulnerabilidad de escape de la caja de seguridad.

También el 21 de octubre, Google compartió una vulnerabilidad en el reproductor Adobe Flash (CVE-2016-7855) con esta empresa parcheada el 26 de Octubre. Esto significa que los usuarios pueden simplemente actualizar a la última versión de Flash. Para la falla de seguridad en Windows, Google sólo recomienda “aplicar parches de Microsoft cuando se encuentren disponibles para la vulnerabilidad de Windows”.

Un plugin de la web como Flash es mucho menos complejo que un sistema operativo como Windows. Esta es una de las razones por lo qué la política de Google para vulnerabilidades criticas activamente explotadas — a saber, el revelar públicamente detalles de las mismas después de siete días, es tan controversial. Según Google es para proteger a los usuarios de Windows, en realidad quienes pierden son los usuarios de Windows en esta batalla sin sentido por parte de una gran compañia, que en vez de proteger a los usuarios de estos sistemas operativos afectados los estan exponiendo a que sean afectados, cada cual valore quien tiene la razon.

Muchas compañías de software sostienen que una semana no es tiempo suficiente para codificar, probar y publicar un parche para una falla de seguridad. Google prefiere a sensibilizar al público más temprano que tarde, pero muchos investigadores de seguridad mantienen que los datos sólo deben ser compartidos una vez que haya disponible un parche.

Esta no es la primera vez que Google ha revelado vulnerabilidades de Windows antes de que un parche estuviera listo. De hecho, la empresa hizo esto para Windows 8.1 dos veces en Enero del 2015. Microsoft es comprensible no está contento, pero esta vez es aún más grave. Mucho más, pues las vulnerabilidades anteriores no eran explotadas activamente.

Más tarde el mismo día Microsoft emitió una declaración, aunque la compañía no compartió cuando podía esperar un parche. “Creemos en la divulgación de vulnerabilidades coordinada y la divulgación de hoy por Google pone a los clientes en riesgo potencial”, dijo un portavoz de Microsoft a VentureBeat. “Windows es la única plataforma con un compromiso con el cliente para investigar problemas de seguridad reportados y proactivamente actualizar dispositivos afectados tan pronto como sea posible. Recomendamos a los clientes el uso de Windows 10 y el navegador Microsoft Edge para la mejor protección”.

Una fuente cercana a la empresa también compartió que el exploit que describe Google requiere de la vulnerabilidad de Adobe Flash. Dado que Flash ha sido parcheado, se mitiga la vulnerabilidad de Windows. Dicho esto, Microsoft todavía necesita tapar el agujero de seguridad que podría ser aprovechada en otros tipos de ataques.

El 1 de Noviembre, Terry Myerson, Vicepresidente Ejecutivo del grupo de Windows y Dispositivos de Microsoft, compartio más información, incluyendo que los usuarios de Windows 10 Anniversary Update (Update Aniversario), no son afectados por la vulnerabilidad explotada activamente in the wild (léase; activo en el mundo real). Myerson también criticó a Google en consonancia con la declaración anterior de Microsoft.

Microsoft publicara un parche para esta vulnerabilidad el 8 de noviembre.

Fuente: venturebeat.com