Portada
mis comunidades
otras secciones
#2:
Tuvieron 90 días para publicar el parche. Es irresponsable por parte de Microsoft no haberlo hecho.
Bien por Google.
Es vergonzoso que Google dedique sus recursos a encontrar problemas de seguridad en productos de terceros, es decir, a hacer el trabajo que deberían hacer éstos, y encima se lo critiquen. Es realmente vergonzosa la actitud de Microsoft. Ya hacen el ridículo por tener vulnerabilidades y que se las encuentre Google pero lloriquear por que no les dan más de 3 meses para mover el culo es de traca.
Bien por Google.
Es vergonzoso que Google dedique sus recursos a encontrar problemas de seguridad en productos de terceros, es decir, a hacer el trabajo que deberían hacer éstos, y encima se lo critiquen. Es realmente vergonzosa la actitud de Microsoft. Ya hacen el ridículo por tener vulnerabilidades y que se las encuentre Google pero lloriquear por que no les dan más de 3 meses para mover el culo es de traca.
Comentarios
Tuvieron 90 días para publicar el parche. Es irresponsable por parte de Microsoft no haberlo hecho.
Bien por Google.
Es vergonzoso que Google dedique sus recursos a encontrar problemas de seguridad en productos de terceros, es decir, a hacer el trabajo que deberían hacer éstos, y encima se lo critiquen. Es realmente vergonzosa la actitud de Microsoft. Ya hacen el ridículo por tener vulnerabilidades y que se las encuentre Google pero lloriquear por que no les dan más de 3 meses para mover el culo es de traca.
#2 Microsoft pidió dos días mas, Google hizo caso omiso. Publicar ese bug no beneficio a nadie.
#3 Google siempre espera 90 días, SIEMPRE, porque va a hacer una excepción con Microsoft si ya tuvieron 90 días?
#3 Y dos huevos duros más.
Vergonzoso.
#5 Porque el objetivo de publicar la vulnerabilidad sabiendo que estará corregida dos días más tarde es...?
#6 El objetivo de poner un límite de 90 días a vulnerabilidades de seguridad es por que deben estar corregidas a los 7 días como máximo, y dan de margen de 83 días más por si acaso.
¿Cual crees que es el objetivo de publicar una corrección 92 días más tarde?
¿Cual crees que es el objetivo de publicar software con vulnerabilidades?
El hecho que Google no publique la vulnerabilidad no significa que las víctimas no sean vulnerables. La vulnerabilidad, que es lo grave, estuvo ahí no 2 días sino como mínimo 90 días.
#6 lo normal es publicar las vulnerabilidades según aparecen, antes incluso de estar seguros si es una vulnerabilidad, para que cualquiera pueda aportar la información y tenerla lo más completa posible.
#8 los usuarios de w8.1 están en riesgo porque la vulnerabilidad existe. El oscurantismo no es una técnica de protección de equipos, según los expertos.
#15 Si eres de los usuarios que no usa ninguna clase de antivirus y tienes Internet Explorer con mas barras que espacio para ver la web, pues obviamente te afecta. Ademas supongo que habrás estado por ejemplo al tanto de los mas de 30000 exploits aparecidos en Android de los cuales algunos llevan sin tapar 7 años gracias al sistema tan "seguro" que eligió Google de dejar en mano de las compañías telefónicas las actualizaciones.
#16 Son simples matemáticas, a menor numero de personas enteradas menor es la posibilidad de usar la vulnerabilidad contra usuarios. Publicar agujeros de seguridad estando tan cerca el parche que lo arregla no lo recomienda ningún experto en seguridad.
#18 Solo estás teniendo en cuenta un factor, de los muchos que hay. El básico es que si tienes un equipo así, el conocer la vulnerabilidad te permite poner medidas para defenderte. O desconectarlo si la vulnerabilidad es crítica y el riesgo grande. No quiero ya entrar en el resto de las ventajas tiene en el ciclo de resolución de incidencias el tener un registro público y accesible, solo decirte que se considera que superan a los riesgos.
Los expertos en seguridad recomiendan publicar las vulnerabilidades siempre. Otra cosa es que microsoft no lo haga. Pero no es por razones técnicas, será por motivos comerciales.
#18. Que tiene que ver IE con todo esto?. Leete en qué consiste la vulnerabilidad y luego opina sobre su gravedad. Te he puesto el enlace, y puedes bajar y testar la prueba de concepto.
#3 #6 Revisemos el asunto:
1. Microsoft publica un software con una vulnerabilidad. Está bien que no es posible publicar un software libre de errores y vulnerabilidades, pero desconocemos hasta qué punto fue negligencia.
2. Google descubre la vulnerabilidad y le da 90 días al autor del software para que la corrija antes de ser publicada, que es el procedimiento normal y al cual no se le han hecho excepciones. Que el autor sea Microsoft es irrelevante.
3. Microsoft, por razones de cronograma, decide retrasar la publicación de la corrección más de los 90 días, exponiendo a sus usuarios. Lo normal es que el autor corrija de inmediato, más si se trata de un fallo en la seguridad. Sabemos que la vulnerabilidad la encontró Google, pero no sabemos quien más la pudo haber encontrado y explotado antes.
4. Cuando Microsoft ve que Google no hará la excepción, decide culpar a Google por exponer a sus usuarios al fallo de seguridad en su software, el mismo que no quiso corregir a tiempo.
No sé vosotros, pero yo veo más culpa de Microsoft que de Google. El que haya gente acusando a Google por su inflexibilidad y no a Microsoft por su negligencia y falta de interés en sus usuarios, me hace pensar que la gente es tonta y muy manipulable.
También da que pensar que siempre sean otros los que descubren las vulnerabilidades de Windows. Al parecer a Microsoft el tema de la seguridad de sus usuarios le trae sin cuidado.
#3 Y lo lamentable de todo es que el parche que corrige la vulnerabilidad se publica mañana, Google para demostrar que Project Zero da sus frutos no ha dudado en poner en riesgo a todos los usuarios de Windows 8.1.
#8 Quien puso en riesgo a todos los usuarios de Windows 8.1 fue Microsoft al publicar software con vulnerabilidades. Y no lo hizo hace 90 días sino desde la fecha en la que publicó el software que contenía esa vulnerabilidad.
Es irresponsable mantener a las víctimas y a los expertos de seguridad en la ignorancia por los intereses económicos de una empresa.
#9 Bienvenido al mundo informático, ningún sistema operativo es invulnerable y precisamente Google no puede poner como ejemplo a Android de ello, que ni siquiera garantiza soporte para parches de seguridad tras un misero cambio de versión.
#11 Realmente el agujero con un usuario que sepa usar medianamente un ordenador no le afecta, y personalmente te aconsejo que directamente vivas en un bosque aislado de la civilización para evitar estar pendiente de todos los bugs y exploits que salen en todos los sistemas que uses (los hay a gritones cada semana).
#13 Pues ahora que lo comentas sería de traca que MS se dedicase ahora a publicar las vulnerabilidades de Android. Sería un buen pwned aparte de que quizás ayudaría al nefasto sistema de parcheo del mismo.
#14 se consideraría una ayuda. Supongo no debes tener soltura en seguridad informática ¿ verdad ? Lo que dices es una primera impresión común: un sistema es seguro si no se conocen las vulnerabilidades. Luego la realidad te dice que es al revés: la cantidad de atacantes es potencialmente (casi) infinita y si tú no lo conoces, es alta la posibilidad de que alguien sí lo conozca. Por eso lo de la claridad.
#17 Quieres dar a entender que no tengo ni idea cuando no es así. No me hace falta ser juanker para saber valorar las aportaciones de la comunidad en materia de seguridad. Mi experiencia en seguridad informática es tan escueta como irrelevante. Del mismo modo te pregunto; ¿eres usuario de Android? ¿Desde hace muchos años? ¿Conoces el sistema de actualizaciones del OS? ¿Sabes que la comunidad crea firmwares inestables sin drivers ni respaldo oficial para solventar la brutal obsolescencia programada de Android? Me da que no, es la única razón que se me ocurre a la respuesta que me has dado. Un saludo.
#28 no lo conozco, ni sé que tiene que ver con el tema. No he querido dar ninguna mala impresión de nadie, disculpa si ha parecido así.
#13. Realmente el agujero con un usuario que sepa usar medianamente un ordenador no le afecta....
¿Por qué no le afecta?
Mmmmmm https://code.google.com/p/google-security-research/issues/detail?id=118
Y no, no necesito ir a vivir a un bosque. Basta con usar un sistema operativo que se preocupe de corregir los fallos con velocidad y estar suscrito a los boletines de seguridad de los servicios que administro.
#8, lo publicara Google o no, los usuarios de Windows 8.1 estaban en grave riesgo. Incluso mayor, ya que ignoraban que ese riesgo existía. Que google lo publicara facilitó la toma de medidas y obligó a Microsoft a parchearlo si o si.
#3. Publicar ese bug sirvió de mucho a todo el mundo que tenía su ordenador expuesto sin que Microsoft se preocupara lo más mínimo, pudiendo tomar medidas (como tenerlo apagado, si es necesario).
Lo publicara Google o no, el bug existía igualmente, y posiblemente estuviera siendo explotado y vendido en el mercado de 0 days....
#3 Si beneficio a alguien...a los usuarios de m$-windows, lo peor de los bugs no es tenerlos, es no saber que lo tienen.
#19 Lo peor de los bugs es que sean explotados.
#21 Lo peor es que te los exploten sin que lo sepas...como ha pasado desde hace tiempo...algunos conspiratorios dicen que son puertas traseras dejadas adrede...
#22 Si Google ha anunciado que hay un bug hace 90 días sin especificar cual, es equiprobable que lo exploten tanto si ha sido anunciado como si no, lo que aumenta las probabilidades es que se especifique cual es.
#23 Caguen ahora me haces leer de que iba el bug que me interesaba un pimiento un bug de micro$oft.
Vale la he leído, pero esto me recuerda a por ejemplo una vulnerabilidad que hubo en los móviles (no recuerdo si windows phone antiguo o blackberry) sobre el tema de bluetooth que podían sacar la lista de contactos...y que así se la sacaron a la Paris Hilton hace años...
Pues si se sabe que hay una vulnerabilidad haciendo tal cosa, hasta que se arregle puedes intentar evitar hacer esa cosa ¿No? Como activar el bluetooth en aquella vulnerabilidad, no es una solución...es un apaño...pero peor es no saberlo...
#24 En el caso de Paris Hilton accedieron a su cuenta porque su password era muy débil, lo estas confundiendo con el bluejacking, que es el citado acceso a través de bluetooth. En el caso que trata la noticia, hay una solución, es un parche y sale mañana, pero Google ha preferido no esperar, aumentando el riesgo de los usuarios.
#25 Gracias por la corrección. Pero el problema no es aumentar el riesgo, si no tener una vulnerabilidad que la conocen pocos y que la pueden usar a su antojo.
Y darlo a conocer, significa darlo a conocer a todo el mundo, tanto "los buenos de la película" como "los malos de la película" y "las victimas"...el problema es que como no es software libre "los buenos" son micro$oft y nadie mas puede arreglarlo quedando "las victimas" peor que en una peli de sobremesa de Antena3.
#26 No sabemos si la conocen pocos o no la conoce nadie. Los que si la conocen, "los buenos", tienen una solucion que empezaran a desplegar mañana. En el caso, probable, de que "los malos" no lo supiesen, ahora lo saben, y pueden explotarla a su antojo sin que "las victimas" puedan defenderse, gracias a que "la peli de sobremesa de Antena3", Google, prefiere publicidad a hacer el bien. ¿Donde queda el "Don't be evil"?
#27 Bueno creo que tenemos posiciones distintas, para ti han hecho el mal, para mi han hecho el bien. No se que mas podemos hacer, mas que respetar mutuamente nuestras opiniones.
#29 O eso o pelearnos en el patio del colegio.
#30 Prefiero resolverlo con cerveza .
Es que yo lo que no entiendo es que cuando tienes cualquier sistema windows, al hacer click en un icono te aparezca 'Windows no reconoce el fabricante...' y te pregunta si está seguro y luego se te cuela por el router cualquier estudiante de informática y te mete lo que le de la gana en el sistema. En Linux eso no me pasa, eso en vez de criticar debería Microsoft ponerse a solucionar eso
Yo ocuso a Microsoft de apropiarse de cosas indebidamente, pero como me fastidian estos.