Project Zero ha dado a conocer la vulnerabilidad, 90 días después de haber notificado a Microsoft, cumpliendo así su procedimiento estándar para tales anuncios. En realidad, la data de la vulnerabilidad es considerablemente superior a 90 días, al haber sido detectada en marzo de 2016 por el ingeniero de Google Mateusz Jurczyk, y que Microsoft intentó eliminar mediante su actualización MS16-074 en junio del mismo año.
El propio Jurczyk analizó posteriormente el parche de Microsoft, concluyendo que era insuficiente, por lo que nuevamente notificó a la empresa.
La vulnerabilidad está vinculada al procesamiento de elementos gráficos DIB (Device Independent Bitmaps), integrado en archivos de tipo EMF (Enhanced Metafile) cuando estos archivos son abiertos en las aplicaciones que utilizan Windows Graphics Device Interface. La vulnerabilidad del caso hace posible para un atacante hacerse del control de la memoria del sistema.
En principio, los archivos EMF no son de uso generalizado, y muchos usuarios sencillamente los ignoran al recibirlos como anexos de correo electrónico. Sin embargo, estos archivos pueden ser integrados en otros archivos, como por ejemplo documentos Word. “He constatado que la vulnerabilidad es reproducida en Internet Explorer y también en servicios online como Office 365 mediante un documento .docx”, escribe Jurczyk.
Diversas fuentes especulan que Microsoft había planeado distribuir el parche correspondiente junto con la actualización de seguridad programada para el martes 14 de febrero. Sin embargo, esta actualización fue postergada hasta el 14 de marzo, sin que Microsoft haya explicado las razones. Siempre en el ámbito de las especulaciones, se sugiere que Microsoft estaría experimentando problemas con la infraestructura de Windows Update; es decir, que no se trataría de un problema vinculado a esta actualización en particular.
Al margen de las posibles explicaciones, Microsoft ha manifestado su desacuerdo con las políticas de Google para Project Zero, al dar a conocer públicamente detalles sobre vulnerabilidades para las que aún no ha publicado parches. En noviembre de 2016, cuando Microsoft necesitó más de 90 días para eliminar una vulnerabilidad notificada por Project Zero, Terry Myerson, director de la división Windows en Microsoft, comentó que era decepcionante que Google no hubiera esperado hasta la disponibilidad del parche correspondiente antes de dar a conocer los detalles técnicos de la vulnerabilidad. En 2015, frente a una situación similar, Microsoft también protestó mediante una declaración pública.
Los desacuerdos entre Microsoft y Google obedecen a una distinta percepción de la seguridad y la reserva que debe mantenerse al respecto. Es evidente que Microsoft prefiere mantener en reserva los detalles de las vulnerabilidades hasta que haya un parche disponible; al menos cuando aún no se hayan producido ataques de días cero. Google, por su parte, considera que si la vulnerabilidad no ha sido solucionada dentro de un plazo razonable – a su juicio 90 días- lo más aconsejable es notificar a los afectados con el fin de que puedan protegerse por cuenta propia frente a ataques potenciales.
Más información sobre Project Zero en Diario TI.