Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Google suaviza política de divulgación tras críticas
El año pasado, Google anunció una nueva política de divulgación, donde los detalles de una vulnerabilidad descubierta por los investigadores de la empresa se --publicarían dentro de los 90 días posteriores a que se notificara al proveedor, independientemente de si se había o no liberado un parche. Si la vulnerabilidad estuviera siendo aprovechada de forma activa, los detalles se darían a conocer incluso dentro de los primeros siete días.
Esta política ha sido motivo de controversia, con el argumento de que muchos de los parches pueden ser complicados, sobre todo cuando una vulnerabilidad está enterrada profundamente dentro del código. El mes pasado Google publicó detalles de una vulnerabilidad de elevación de privilegios en Windows 8.1 solo unos días antes de que Microsoft publicara su parche, muchos vieron esto como una irresponsabilidad por parte de Google.
Por un lado, la política de Google añade claridad al debate de la divulgación. Incluso cuando las vulnerabilidades se dan a conocer de manera responsable, corregirla podría tomar mucho tiempo, dejando a los clientes en una situación de riesgo y haciendo que los investigadores sientan que pueden vender sus descubrimientos al mercado negro.
Por otro lado, Google podría estar decidiendo unilateralmente lo que es mejor para Internet. En algunos casos recientes, uno se pregunta si hay algún interés detrás de que todos los detalles de una vulnerabilidad se den a conocer unos días antes de notificar la existencia del parche.
Afortunadamente, Google no es inmune a la crítica y ha respondido mediante la atenuación de su política de dos maneras:
En primer lugar, la revelación nunca se llevará a cabo durante los fines de semana o los días festivos; en estos casos el plazo se trasladará al siguiente día hábil.
En segundo lugar, se ha añadido un "período de gracia" de 14 días para las vulnerabilidades que tienen una solución programada en un máximo de dos semanas después de terminado el periodo inicial de 90 días. Esto debe evitar casos como el que afectó a Microsoft, en donde ya se tiene el parche listo pero se están ejecutando todavía algunas pruebas de control de calidad o se está esperando a su propio ciclo de actualizaciones.
Al parecer Google ha hecho algunas concesiones muy razonables sin comprometer significativamente el mensaje esencial de su programa: un parche rápidamente o alguien explotará la vulnerabilidad.
