Google revela un fallo de seguridad de Microsoft Edge antes de que el parche esté listo

Google revela un fallo de seguridad de Microsoft Edge antes de que el parche esté listo

Microsoft y Google han sido acérrimos rivales durante al menos una década, y la pareja ha tenido varios desacuerdos sobre la divulgación de vulnerabilidades de seguridad en los últimos años. Google está volviendo a avivar esos desacuerdos esta semana al revelar un fallo de seguridad de Microsoft Edge antes de que haya un parche disponible. Neowin detectó que Google reveló el fallo de seguridad a Microsoft en noviembre, y la compañía proporcionó a Microsoft 90 días para solucionarlo antes de hacerlo público, ya que se calificó como gravedad "media".

Google también proporcionó a Microsoft un período de gracia adicional de 14 días para tener una solución disponible para su lanzamiento mensual de Patch Tuesday en febrero, pero Microsoft no alcanzó este objetivo porque "la solución es más compleja de lo que inicialmente se esperaba". No está claro cuándo tendrá Microsoft una solución disponible, y el ingeniero de Google responsable de informar del fallo de seguridad dice que debido a la complejidad de la corrección, Microsoft "aún no tiene una fecha fija establecida hasta el momento".

La divulgación pública probablemente enfadará a Microsoft, una vez más. El gigante del software devolvió el enfoque de Google a los parches de seguridad el pasado mes de octubre, luego de descubrir un fallo en Chrome y de divulgarlo "responsablemente" a Google para que la compañía tuviera tiempo suficiente para parchar. En el centro del problema está la cuestión de si la política de Google de divulgar después de 90 días sin parche es razonable. Google hace excepciones a esta regla estricta, con períodos de gracia, e incluso puede divulgar mucho más pronto si la vulnerabilidad se está explotando activamente. Google reveló un fallo importante de Windows en 2016 solo 10 días después de informarlo a Microsoft, y la compañía reveló errores de Zero-Day en Windows en el pasado antes de que los parches vierán la luz.

Dos grandes y obvias excepciones a las reglas de divulgación de seguridad de Google fueron los recientes errores de Meltdown y Spectre. Los ingenieros de Google descubrieron los fallos de la CPU e Intel, AMD y otros tuvieron alrededor de seis meses para solucionar los problemas antes de que los fallos se revelaran públicamente a principios de este año. Los dispositivos Chrome OS y Android también se vieron afectados por estos fallos del procesador, junto con Windows, Linux, macOS e iOS.

Google quiere que la industria adopte sus agresivas políticas de divulgación, pero hasta ahora Microsoft se ha resistido bastante públicamente. Este último episodio no es tan crítico como algunas de las revelaciones anteriores, pero probablemente reavivará el debate sobre si Google, una compañía con intereses comerciales competitivos, debería liderar la forma en que los fallos de seguridad en los sistemas operativos rivales se revelen en interés público.

Artículo Relacionado