Microsoft ha criticado la iniciativa Project Zero de Google por revelar detalles de vulnerabilidades en productos de Microsoft, antes que la empresa haya solucionado el problema mediante parches o actualizaciones de seguridad. Los investigadores del Project Zero tienen un procedimiento estándar, según el cual revelan los detalles de las vulnerabilidades transcurridos 90 días de advertido el fabricante.
Comentando la primera revelación pública, sobre una vulnerabilidad de Windows, Chris Betz, de Microsoft, comentó que el proceder de Google correspondía más bien a un intento de ridiculizar a los demás, que actuar conforme a principios. La respuesta de Google fue revelar una nueva vulnerabilidad de Windows. Asimismo, ha habido casos en que Microsoft no está de acuerdo con que se trate de vulnerabilidades, que por tal razón marca como “Won’t fix” (“no será corregida””, en esta lista de Google.
La relación entre Google y Microsoft no siempre es igual de cordial, y según algunos observadores Google simplemente está retribuyendo actitudes inamistosas que Microsoft ha tenido con el gigante de las búsquedas, como por ejemplo el denominado proyecto “Scrooged”, ahora suspendido.
OS X
Sin embargo, la interpretación anterior no es del todo justa, ni correcta, ya que el Project Zero ha hecho lo mismo con vulnerabilidades de OS X. En el período comprendido entre agosto y noviembre de 2014, Project Zero reveló detalles de, al menos, 3 vulnerabilidades en OS X, de distinta gravedad. Según Google, los 3 agujeros de seguridad aún no han sido solucionados.
Esta semana, la lista fue ampliada con tres nuevas revelaciones de detalles de vulnerabilidades en OS X. Probablemente, Apple ha incorporado ya una protección contra una de ellas en la versión Yosemite del sistema operativo.
Ninguna de las vulnerabilidades tiene rango crítico, debido a que los potenciales atacantes deben contar por anticipado con acceso al sistema.
Al margen de todo, Project Zero no se dedica exclusivamente a revelar vulnerabilidades de Microsoft o de Apple. Hasta ahora, ha hecho pública información sobre 106 vulnerabilidades en software y servicios de distintos fabricantes. La mayoría opta por solucionar las vulnerabilidades dentro del plazo de 90 días.
—
Fotografía: Pio3 GI © Shutterstock.com