16 ene. 2015

Google vs. Microsoft: otro Zero-Day publicado

En la última semana Microsoft ha criticado fuertemente a Google y su política de divulgación de seguridad, luego de que la firma revelara públicamente dos vulnerabilidades 0-Day en el sistema operativo de Microsoft Windows 8.1. Parece que ha Google no le ha alcanzado y ha divulgado públicamente una nueva vulnerabilidad grave en Windows 7 y Windows 8.1 antes de que Microsoft publique el parche, dejando a los usuarios de los sistemas operativos expuestos.

Hace unos días, Google lanzó los detalles de un error de escalamiento de privilegios (con su PoC) en Microsoft Windows 8.1, apenas dos días antes de que Microsoft reparara el error.
Esta vez el gigante ha descubierto un fallo en la función de cifrado de memoria CryptProtectMemory en Windows 7 y 8.1, presente en arquitecturas de 32 y 64 bits, que accidentalmente pueden revelar información confidencial o permitir controles de seguridad. El fallo reside en la implementación de CNG.sys y como siempre Google también ha publicado una PoC.

Divulgación pública de bugs, ¿es bueno o malo?

La revelación de estas fallas de seguridad forma parte de Google Project Zero, una iniciativa que identifica los agujeros de seguridad en diferentes software y hace un llamamiento a las empresas a solucionar el bug, 90 días antes de su revelamiento público.

La política de divulgación de Google -que no es nueva ni mucho menos- parece ser un buen movimiento para que todos los proveedores de software parcheen sus productos antes de que sean explotadas activamente por los delincuentes. Pero al mismo tiempo, revelar todos los errores críticos junto con sus detalles técnicos no parece ser una decisión correcta. En ambos casos, el único que sufre es el usuarios final inocente.

Chris Betz, director senior de la Microsoft Security Response Center, escribió "el movimiento de Google se siente menos como principios y más como un 'te-atrapé' ("gotcha") y, como resultado, los clientes pueden sufrir. Lo que es correcto para Google no es siempre cierto para los clientes. Instamos a Google a hacer de la protección de los clientes nuestro objetivo colectivo. Creemos en Coordinated Vulnerability Disclosure (CVD)".

Google notificó el 17 de octubre de 2014 a Microsoft de la vulnerabilidad en Windows 7 y 8.1. Microsoft lo confirmó el 29 de octubre y dijo que sus desarrolladores lograron reproducir el bug de seguridad. El parche para la vulnerabilidad está programado para el martes 10 de febrero.
La vulnerabilidad fue encontrada por James Forshaw, quien también descubrió un "defecto de elevación de privilegios" en Windows 8.1, que fue divulgado a principios de esta semana y atrajo fuertes críticas de Microsoft.

Esta es la tercera vez en menos de un mes que Project Zero de Google publica detalles de una vulnerabilidad en el sistema operativo de Microsoft, siguiendo su política de divulgación pública 90 días.

Cristian de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!