Google publica un fallo en Windows antes de que Microsoft lo solucione
Project Zero es un grupo de expertos de seguridad, trabajadores de Google, que se dedican a analizar los programas y sistemas operativos en busca de posibles fallos de seguridad existentes de manera que, antes de que algún grupo de piratas informáticos los encuentre y los empiece a explotar, se lo comunique a los responsables de manera que estos puedan solucionarlos y lanzar un parche. Sin embargo, Project Zero solo mantiene los errores privados durante un tiempo, tras el cual, se hacen públicos, se hayan o no se hayan lanzado los parches correspondientes, tal como ha ocurrido hoy con Windows.
Hace algunas horas, Google ha hecho público, una vez más, un fallo de seguridad zero-day detectado en los sistemas operativos Windows. Este fallo de seguridad se encuentra localizado en la librería win32k.sys del sistema operativo y puede permitir a un atacante ganar privilegios dentro del sistema operativo, tanto localmente como de forma remota.
Tal como asegura Google, esta vulnerabilidad es muy grave ya que está siendo explotada por varios grupos de piratas informáticos y, por ello, en lugar de esperar los 90 días de margen antes de hacerla pública, la compañía la ha publicado tan solo 7 días después de notificársela a Microsoft, presionando así a los ingenieros de la compañía para crear y liberar el parche de seguridad, algo que, una vez más, no ha gustado muchos a Microsoft.
Aunque por el momento Microsoft no ha hecho declaraciones sobre dicho fallo de seguridad, ahora que es de dominio público lo más seguro es que el correspondiente parche de seguridad llegue a todos los usuarios el próximo 8 de noviembre, segundo martes de este recién estrenado mes y que será la fecha prevista para el «martes de parches».
El grupo Project Zero de Google es tan necesario como peligroso, y no solo para Windows
Gracias a Project Zero se han descubierto muchas vulnerabilidades en un gran número de programas y sistemas operativos que han permitido a los usuarios hacer un uso mucho más seguro de los sistemas informáticos y de las conexiones a Internet, sin embargo, la política de Google en cuanto al reporte de los fallos no gusta a los responsables de los productos afectados.
Cuando Project Zero encuentra un fallo de seguridad, automáticamente se lo notifica a los responsables y establece una fecha máxima de 90 días para solucionarlo. Una vez alcanzada dicha fecha, tanto si el problema se ha solucionado como si no, Project Zero hace público el fallo, permitiendo a los piratas informáticos crear exploits con los que sacar provecho. Sin embargo, cuando el fallo es muy grave o está siendo explotado, como ha ocurrido en esta ocasión, Project Zero lo hace público con tan solo una semana de margen, forzando a las compañías a lanzar los parches en un periodo de tiempo muy breve, incluso insuficiente, tal como asegura Microsoft.
Gracias a este grupo de expertos de seguridad se han encontrado y solucionado muchas vulnerabilidades en aplicaciones como Flash, Adobe Reader o OpenSSL, entre otras, y en sistemas operativos como Windows y Linux, sin embargo, por desgracia, no todos ellos han sido solucionados antes de hacerlos públicos, poniendo en peligro a los usuarios ante un fallo que, a día de hoy, no tiene solución.
¿Qué opinas sobre la publicación de los fallos detectados por Project Zero?