Llegamos a ustedes gracias a:



Noticias

Microsoft parcha bugs en Windows que estaban bajo su piel

[15/01/2015] Microsoft parchó las vulnerabilidades que Google había hecho públicas antes de que estuvieran listos los parches.

Estas revelaciones han irritado a Microsoft, lo cual ha producido una inusual polvareda en donde la compañía específicamente recriminó a Google por supuestamente haber puesto en peligro a los clientes de Windows.

Como parte de un Martes de Parches con una lista de ocho actualizaciones, ayer Microsoft publicó parches para dos bugs de Windows que James Forshaw, ingeniero de seguridad de Google, había encontrado y reportado en el 2014. Forshaw trabaja en el equipo Google Project Zero, el cual tiene la política de revelar de forma automática los detalles técnicos de alguna falla, y en muchos casos muestras del código atacante 90 días luego del reporte de la vulnerabilidad si no ha sido parchada para entonces.

La MS15-001, como Microsoft ha identificado a una de las actualizaciones, se hace cargo de una vulnerabilidad que Google reportó el 30 de setiembre del 2014, y automáticamente la reveló el 29 de diciembre. Aunque Forshaw solo probó con Windows 8.1, Microsoft confirmó que la falla también se encontraba presente en Windows 7, 8, RT, Server 2008 R2 y Server 2012.

El segundo bug reportado por Google, presentado a Microsoft el 13 de octubre del 2014, y hecho público el 11 de enero del 2015, fue parchado el martes por la MS15-003. Nuevamente, Forshaw solo probó con Windows 8.1, pero Microsoft indicó que la vulnerabilidad también afectaba a Vista, 7, RT y Server 2003 hasta 2012 R2.

En los dos boletines, Microsoft no dio crédito a Forshaw por descubrir las fallas, pero esa es la práctica estándar de la compañía: Generalmente, solo da crédito a los investigadores que no revelan la información del bug hasta que salga el parche.

El Martes de Parches fue el primero desde la repentina decisión de Microsoft, en días pasados, de restringir las notificaciones preparches a los socios de seguridad y empresas que pagan soporte premium. Anteriormente, esas advertencias se encontraban disponibles para todos de forma gratuita. Luego de que se publicaron las ocho actualizaciones, los expertos en seguridad nuevamente arremetieron contra este cambio.

"Es extremadamente difícil ver cómo es que esto beneficie a alguien, a menos que sea quizás la persona responsable de los ingresos por soporte de Microsoft, sostuvo Ross Barrett, gerente senior de ingeniería de la seguridad de Rapid7, en un correo electrónico el martes.

"Retirar el Advanced Notification Service es un cambio desafortunado, sostuvo Russ Ernst, director de product management de Lumension. "Incluso teniendo muchas organizaciones realizando la transición hacia la automatización de los pasos tácticos para evaluar y desplegar actualizaciones, la falta de notificaciones sí impacta en la capacidad de los CIO y de la alta gerencia de planear estratégicamente cómo enfrentar el impacto de estos cambios en sus ambientes.

El rastreador de bugs de Project Zero actualmente muestra tres vulnerabilidades reportadas pero no parchadas, todas en el sistema operativo OS X de Apple. La más reciente de las tres fue reportada a Apple el 18 de agosto del 2014, y los detalles se hicieron públicos el 19 de noviembre.

Las tres vulnerabilidades fueron registradas en el rastreador de bugs por Ian Beer, otro miembro del equipo de Project Zero.

Gregg Keizer, Computerworld (EE.UU.)