miércoles, 28 de enero de 2015

de  BARRAPUNTO.COM


Microsoft se enfada con Google por publicar bugs de Windows

Entrada escrita por jperex y editada por mig21 el Lunes, 26 Enero de 2015, 13:45h   Printer-friendly   Email story
desde el dept. política
Microsoft
La política de Microsoft sobre publicación de parches consiste en liberar todos los parches a la vez el segundo martes de cada mes (Patch Tuesday). Esta política, vigente desde 2003, permite a la compañía comprobar el correcto funcionamiento de los parches y la existencia de interacciones entre ellos. Según Microsoft, estos ciclos mensuales permiten a los administradores de sistemas planificar más cómodamente las actualizaciones de sus máquinas y los reinicios de los sistemas críticos. Microsoft gestiona los bugs a su criterio y de manera confidencial, lo que supone que en muchos casos la publicación del parche se retrase sine die. El Project Zero es un grupo de investigadores de seguridad informática contratados por Google para trabajar a tiempo completo buscando vulnerabilidades y exploits en cualquier tipo de software popular. Cuando el Project Zero descubre una vulnerabilidad en un software ajeno a Google, se pone en marcha un procedimiento estandarizado: se contacta de manera privada con el desarrollador de dicho software para informarle del descubrimiento, y 90 días después los bugs se anuncian de manera pública. Google considera que este plazo de 90 días es suficiente para que el desarrollador arregle el error reportado y distribuya actualizaciones a sus usuarios, sin excepciones. Leo en Ars Technica que las diferentes políticas de publicación de vulnerabilidades manejadas por Google y Microsoft han hecho que los usuarios finales tengamos una vulnerabilidad explotable en nuestras máquinas Windows 8.1 durante dos días. Google informó del problema a Microsoft el 13 de Octubre. El periodo de confidencialidad de 90 días del Project Zero terminaba un domingo, pero Microsoft esperó al Patch Tuesday del 13 de Enero para publicar la actualización. El director del Microsoft Security Response Center ha publicado una queja pública por la postura de Google, criticando el periodo de gracia no negociable de 90 días. Microsoft podía haberse saltado su política, y publicar el parche dos días antes del martes de publicación oficial; Google podía haberse saltado su política, y haber esperado 92 días para anunciar la existencia del bug. Ninguno lo hizo. ¿Quién actuó mal?. ¿Es defendible que Google fuerce a otra compañía a modificar sus plazos de resolución de bugs, cuando la propia Google no es precisamente ejemplar solucionando los bugs de Android? Más opiniones en reddit y Slashdot.

No hay comentarios:

Publicar un comentario