Google da a conocer una vulnerabilidad en Windows 8.1 antes que Microsoft la parche
Project Zero de Google rastrea las vulnerabilidades que va encontrando en los sistemas de los programas y los reporta a los fabricantes tan pronto como sea posible, para que dentro de los 90 días lance un parche que lo corrija. En este caso Microsoft sobrepasó el tiempo límite y Google dio a conocer el bug en tal sitio, incluyendo su código descargable. Un investigador encontró que el hueco de la seguridad en Windows Phone 8.1 permite a los usuarios de bajo nivel convertirse en administradores, dándoles acceso a funciones sensibles del servidor en que normalmente no tienen acceso.
Microsoft enseguida dio a conocer que los atacantes necesitan tener credenciales válidas para acceder para poder ser capaces de entrar a una máquina local u objetivo. Si bien esto podría minimizar el daño, no significa que no sea peligroso, ya que alguien con credenciales intermedias, con habilidades de programación podría causar un gran daño. Este bug fue reportado desde el día 30 de septiembre de 2014.
Algunas personas, debido a este incidente, se están preguntado si Project Zero hace más mal que bien al no ser Google flexible con las fechas en que da a conocer estos reportes. Otros han indicado que Microsoft tuvo el tiempo necesario para arreglarlo, pero los de Mountain View, se mantuvieron firmes, permitiendo a los fabricantes tener un tiempo justo y razonable para determinar el proceso de administración de la vulnerabilidad. Según, dar a conocer esta noticia, hace que los usuarios aprendan y comprendan los riesgos a los que se enfrentan y que van a monitorear los efectos de la política.
Por lo pronto Microsoft dijo que actualmente está trabajando en el lanzamiento de una actualización para eleve el problema de los privilegios y pide a los usuarios que mantengan su antivirus actualizado, instalar todas las actualizaciones de seguridad y tener activo el firewall.
Fuente: Engadget