Zalewski se despacha a gusto con Microsoft
Michal Zalewski es el descubridor del último bug hallado en Internet Explorer.
A diferencia de lo que suele ser habitual, Zalewski se saltó el procedimiento habitual para reportar vulnerabilidades en productos de Microsoft, y en lugar de informar a la empresa publicó el aviso directamente en la lista Full-Disclosure.
Zalewski ha explicado a eWEEK las razones de su proceder...
"No avancé nada a Microsoft porque me opongo firmemente a su forma de gestionar el proceso de parcheo de vulnerabilidades. Aunque quizás no sirva de nada, es el pedacito de desobediencia civil que me puedo permitir sin hacer ningún daño inmediato a terceros.
Creo que, entre otras cosas, Microsoft recurre a prácticas cercanas a la extorsión cuando interactúa con investigadores de vulnerabilidades que trabajan para empresas que de algún modo dependen de Microsoft; retrasan la revelación de problemas llegando a tomarse en ocasiones hasta 100 días para resolver fallos triviales, algo totalmente injustificable.
A menudo tratan de restar importancia a las amenazas; no participan en la comunidad investigadora de vulnerabilidades de forma significativa; y rutinariamente emplean falsas excusas cuando hablan a los medios (por ejemplo, expresando preocupación por el cliente y culpando al investigador), cuando el riesgo principal para el cliente se debe al hecho de que una empresa extremadamente rica y rentable, financia muy pobremente la labor de reparar defectos críticos en su software."
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!