Microsoft vs. Google: publican una vulnerabilidad no parcheada de Chrome

Referencial

Microsoft y Google no se llevan particularmente bien, sobre todo en el tema referente a los equipos que publican vulnerabilidades de su software. El primero que tocó un poco la moral al otro fue Google a través de Project Zero. Este equipo, que analiza software en busca de bugs, publicó una vulnerabilidad de Windows antes de que Microsoft tuviera tiempo de parchearla.

A Terry Myerson, vicepresidente ejecutivo de la sección de Windows, le enfureció tanto esto publicó una entrada en el blog de seguridad de Microsoft sobre lo mal que lo hizo Google. El resentimiento se ha mantenido hasta el día de hoy, y casi un año después, Microsoft ha hecho justo lo que hizo Google en aquel entonces: ha publicado una vulnerabilidad no parcheada de Google Chrome.

En concreto, Microsoft descubrió una vulnerabilidad de ejecución remota en Chrome el pasado mes de septiembre, y ahora afirman que la han publicado por propia responsabilidad y para forzar que Google la parcheé. En el post también aprovechan para criticar la manera en la que Google aplica sus parches de seguridad. Así, esta grave vulnerabilidad se encuentra parcheada en la versión beta de Chrome, pero no en la versión estable del navegador que ha estado un mes sin parchear.

El enfoque de Google es lo que no termina de gustar a Microsoft. Google publica en GitHub el código necesario para aplicar el parche antes de que se publique la solución en la versión estable. Gracias a esto, un atacante tiene alrededor de un mes para ver qué fallo es el que está parcheando esa vulnerabilidad y pasar a explotarla.

Google publica el código de las soluciones antes de que esté disponible en versiones estables

Microsoft afirma que siempre informa de los fallos de manera privada, y una vez aplicados los parches es cuando dan detalles sobre las vulnerabilidades. Sin embargo, no fueron tan abiertos cuando su propia base de datos donde recogen todas las vulnerabilidades de su software fue hackeada en 2013, porque no informaron de ello a nadie.

Ambas compañías se toman muy en serio la seguridad de sus productos, y dependiendo del software a parchear una suele ser más rápida que la otra. Así, Microsoft lanza parches para sus sistemas operativos con muchísima rapidez, y fueron los primeros en parchear el fallo del WiFi WPA2 una semana antes de que se conociera. Sin embargo, Google va a tardar en parchear móviles Android unas semanas más, ya que no empezará a lanzar la actualización de seguridad hasta el 6 de noviembre.

Google ha sido criticada normalmente por este tipo de prácticas a la hora de publicar las vulnerabilidades, ya que los ingenieros las publican siete días antes de que se informe a los fabricantes. Entre estas vulnerabilidades están las que Project Zero encuentra en Windows, y el hecho de que se publiquen antes de que Microsoft pueda parchearlas no sienta nada bien en Redmond. Por ello, no es de extrañar que a la mínima oportunidad hagan cosas como las de hoy.