Historias
Slashboxes
Comentarios
 

Microsoft se enfada con Google por publicar bugs de Windows

Entrada escrita por jperex y editada por mig21 el Lunes, 26 Enero de 2015, 13:45h   Printer-friendly   Email story
desde el dept. política
La política de Microsoft sobre publicación de parches consiste en liberar todos los parches a la vez el segundo martes de cada mes (Patch Tuesday). Esta política, vigente desde 2003, permite a la compañía comprobar el correcto funcionamiento de los parches y la existencia de interacciones entre ellos. Según Microsoft, estos ciclos mensuales permiten a los administradores de sistemas planificar más cómodamente las actualizaciones de sus máquinas y los reinicios de los sistemas críticos. Microsoft gestiona los bugs a su criterio y de manera confidencial, lo que supone que en muchos casos la publicación del parche se retrase sine die. El Project Zero es un grupo de investigadores de seguridad informática contratados por Google para trabajar a tiempo completo buscando vulnerabilidades y exploits en cualquier tipo de software popular. Cuando el Project Zero descubre una vulnerabilidad en un software ajeno a Google, se pone en marcha un procedimiento estandarizado: se contacta de manera privada con el desarrollador de dicho software para informarle del descubrimiento, y 90 días después los bugs se anuncian de manera pública. Google considera que este plazo de 90 días es suficiente para que el desarrollador arregle el error reportado y distribuya actualizaciones a sus usuarios, sin excepciones. Leo en Ars Technica que las diferentes políticas de publicación de vulnerabilidades manejadas por Google y Microsoft han hecho que los usuarios finales tengamos una vulnerabilidad explotable en nuestras máquinas Windows 8.1 durante dos días. Google informó del problema a Microsoft el 13 de Octubre. El periodo de confidencialidad de 90 días del Project Zero terminaba un domingo, pero Microsoft esperó al Patch Tuesday del 13 de Enero para publicar la actualización. El director del Microsoft Security Response Center ha publicado una queja pública por la postura de Google, criticando el periodo de gracia no negociable de 90 días. Microsoft podía haberse saltado su política, y publicar el parche dos días antes del martes de publicación oficial; Google podía haberse saltado su política, y haber esperado 92 días para anunciar la existencia del bug. Ninguno lo hizo. ¿Quién actuó mal?. ¿Es defendible que Google fuerce a otra compañía a modificar sus plazos de resolución de bugs, cuando la propia Google no es precisamente ejemplar solucionando los bugs de Android? Más opiniones en reddit y Slashdot.

Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
  • por pobrecito hablador el Lunes, 26 Enero de 2015, 08:16h (#1368042)
    Que Microsoft espere a un martes concreto para publicar juntos todos los parches es política suya, ni es algo obligado técnicamente ni es una política que no pudiera cambiarse: Podrían publicar parches todos los martes y seguiría siendo "Patch Tuesday", por ejemplo.

    Que Google dé 90 días a los desarrolladores de los programas con vulnerabilidades desde que les informan hasta que las hacen públicas para que puedan solucionarlas y distribuir las nuevas versiones es un acto de cortesía y una política propia. Nuevamente, ni es algo obligado técnicamente (Se considera parte de ser responsable en la divulgación de vulnerabilidades, pero es una cortesía nada más. Además, 90 es una cifra tan buena o mala como cualquier otra) ni tiene por qué no poder cambiarse.

    Microsoft ha realizado múltiples veces la publicación de parches fuera de esos "Patch Tuesday" sin que ello significase el fin del mundo. Además, si buscas por Internet verás que no es tan infrecuente que actualizaciones supuestamente probadas provoquen efectos secundarios en algunos sistemas, por lo que es frecuente en muchas grandes organizaciones el poner en cuarentena las actualizaciones, probarlas en sistemas de prueba y, si todo va bien, entonces desplegarlas en el resto de máquinas. Por tanto, la credibilidad de la disculpa tampoco es todo lo fuerte que a Microsoft le gustaría.

    Google no busca fallos únicamente en productos de Microsoft, por lo que ¿por qué habría de ser flexible con el plazo de publicación con ella si no lo es con otras compañías? Si otra compañía tiene una política de publicar cada 6 meses, ¿tendría que esperar esos 6 meses? Y sin embargo, si el producto fuese de un pequeño desarrollador y éste hubiese estado enfermo durante 80 días, por ejemplo, ¿no sería razonable ampliar el plazo?

    Preguntas quién actuó mal, supongo que te refieres exclusivamente a este caso. Si Microsoft hubiera querido, podría haber desarrollado el parche para el anterior "Patch Tuesday" (60 días sigue siendo un plazo razonable a no ser que tu funcionamiento interno sea tan burocrático que necesites ese tiempo ya sólo para obtener los permisos y recursos necesarios). Si Google hubiera querido, habría podido cambiar el plazo en este caso (y entonces, ¿cómo negarse a cambiarlo en otros?). Dejando de lado posibles rencillas empresariales, al final lo que queda es simplemente la muestra de que, si eres lo suficientemente grande, tienes tendencia a creer que debes ser tú quien le marque el ritmo al resto del mundo. Pero no es cortés, no es especialmente razonable y el mundo no tiene la obligación de seguir tus designios, por mucho que puedas creerlo.
    [ Responder ]
  • El responsable es Microsoft

    (Puntos:1, Interesante)
    por pobrecito hablador el Lunes, 26 Enero de 2015, 14:33h (#1368049)
    Llamadme loco pero... en 90 días hay como mínimo 12 martes. Tiempo han tenido, de sobra. Mientras no haya leyes que prohíban publicar fallos de seguridad, Google no tenía por qué haber dejado ni 24 horas de gracia. Si Microsoft no ha podido solucionar un fallo de seguridad en 90 días entonces no tiene un problema de 2 de vulnerabilidad sin parche sino uno mucho más grave: 60 días de incompetencia.
    [ Responder ]
  • por Pndel (17582) el Martes, 27 Enero de 2015, 20:11h (#1368102)
    ( http://www.tutuning.net/ | Última bitácora: Lunes, 13 Enero de 2014, 00:17h )
    Lo suyo hubiera sido que Microsoft hubiera sacado el parche el lunes 12 de enero y Google hubiera sacado a la luz pública el bug a los 91 días y todos tan contentos.

    ¿No?
    --
    Homologaciones [tutuning.net] de vehículos tuning
    [ Responder ]
  • por Lock (3731) el Jueves, 29 Enero de 2015, 14:33h (#1368132)
    ( http://barrapunto.com/ )
    A ver.

    Todo son políticas de empresa. Pero es como una relación de pareja. Si hay un problema y ninguno se mueve es probable que uno se joda (o los dos). Y en ese caso es absurdo que el que se jode no actue para solucionar el problema y acuse al otro de que el problema lo creó él (cuando el problema ya existía)

    Y desde otro punto de vista: Google tiene una herramienta para que una empresa de forma privada no pueda imponer sus propios criterios sobre qué arregla y qué no sin que sea información pública.
    Si hoy acepta a esperar mañana se lo exigirán. Si hoy no acepta mañana no se atreverán a dejar un error grave (como una vulnerabilidad) en la cola por prioridades arbitrarias de empresa.
    --
    ¿¿PETER?? ¿Demostenes? Y actualmente Lockpeter
    [ Responder ]
  • Re:Cortesía

    (Puntos:1, Interesante)
    por pobrecito hablador el Lunes, 26 Enero de 2015, 17:48h (#1368062)
    ¡El fallo está arreglado desde hace días. Lo que no se ha hecho es distribuír el parche porque entran otras políticas en juego!
    Se supone que los 90 días de cortesía es para que de tiempo de crear el parche e inmunizar los clientes que lo van a recibir, en caso contrario, se hace público y la empresa se ve forzada a parchear. Pero aquí no hace falta hacerlo público, el parche está y en dos días va a ser distribuído ¿qué les cuesta esperar un par de días?. La política de Microsoft de parchear los martes es bien sabida por la comunidad de administradores de sistemas y tienen esto en cuenta a la hora de actualizar equipos, no es algo que microsoft pueda cambiar cada dos días. ¿Qué credibilidad tendría una empresa que cambiara ciertas cosas porque si (salvo motivos de fuerza mayor, que no es el caso)?
    Tu vas con la mentalidad del usuario con su windows casero. Piensa más a lo grande: cajeros de banco, programas de facturación, etc. Imagina que tienes las máquinas a tope porque estás en hora punta, y la diferencia horaria entre tu país y redmond es tal que te empiezan a llegar las actualizaciones en ese momento: tus infraestructuras empiezan a ir como el culo. Lo normal es que estén planificadas para hacerse a la noche o cuando pase el momento fuerte, y "educando" a tus administradores a hacerlo los martes a tal hora se evitan estas cosas (los admins sabrán cuando tienen que bloquear y cuando desbloquear las actualizaciones). Que google venga a cambiarte tus políticas de empresa que llevan años siendo así toca un poco las narices. Hay que agradecerle que te señale dónde falle tu software, pero una cosa es eso y otra que te coaccionen de ese modo por dos míseros días. Un poco de flexibilidad.
  • 3 respuestas por debajo de tu umbral de lectura actual.