Google ha publicado detalles de una falla en Windows 8.1 que podía hacer que los usuarios de nivel más bajo obtengan el control administrativo total de un equipo que ejecuta el sistema operativo, informa Slash Gear.
La falla fue expuesta como parte del proyecto Project Zero de Google, que rastrea bugs en software y reporta exploits a los propietarios, para que puedan ser solucionados. 90 días más tarde, Google publica automáticamente el exploit después de que sus efectos han sido neutralizados. En este caso, sin embargo, Google parece haber publicado el error a pesar de Microsoft aún no ha emitido una solución para él, según explica SC Magazine.
La revelación del exploit en Windows 8.1 exploit ha dado lugar a un debate en Internet sobre los riesgos de publicar bugs en forma automática luego de 90 días. En respuesta a los comentarios sobre Project Zero, el Ingeniero de Seguridad de Google Ben Hawkes agradeció a los usuarios por la "discusión robusta" sobre la política, pero defendió la decisión de Google de atenerse a la fecha límite de 90 días.
Hawkes escribió: "Project Zero cree que los plazos de divulgación son actualmenteel abordaje ópimo para la seguridad del usuario -le da a fabricantes de software una cantidad de tiempo justa y razonable para ejercitar su proceso de manejo de vulnerabilidades, al tiempo que respeta los derechos de usuarios a aprender y entender los riesgos a los que se enfrentan".
"Vamos a monitorear los efectos de esta política muy de cerca (...) Estamos contentos de decir que los resultados iniciales han demostrado que la mayoría de los bugs que hemos reportado bajo la fecha tope de divulgación se solucionan dentro del plazo", añadió.
En declaraciones a The Register por correo electrónico, un vocero de Microsoft explicó que la compañía está trabajando en una actualización de seguridad para arreglar el exploit, y agregó: "Es importante notar que para que un potencial atacante explotara potencialmente un sistema, primero necesitaría tener credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local a una máquina específica. Animamos a los clientes a mantener actualizado su software antivirus, instalar todas las actualizaciones de seguridad disponibles y activar el firewall en su ordenador".