• Tweet

Oficialmente, durante la actualización más reciente de Adobe para Flash Player se solucionaron únicamente 13 huecos de seguridad, pero extraoficialmente se dice que se cerraron varios cientos de ellos, de acuerdo al especialista en seguridad, Tavis Ormandy, quien trabaja para Google.

Según el investigador, descubrió 400 huecos  y los notificó a Adobe. El especialista se ha quejado de que, mientras los huecos se han cerrado, no se ha mencionado su informe oficial ni se le ha dado crédito por el descubrimiento.

Ormandy dice que planea lanzar su propio informe en breve. Ormandy es un especialista en seguridad bastante reconocido.; regularmente descubre huecos críticos en software, como ejemplo, comenzó una disputa con Microsoft el año pasado.

¿Porqué Adobe ha mencionado solamente 13 huecos y dejó el resto oficialmente indocumentados- Aún no está claro. Una razón podría ser que Google y Adobe han acordado cooperar en la solución de Flash Player. Los defectos encontrados en este contexto están probablemente tratados como descubrimientos internos –y las directrices de Adobe establecen que este tipo de defectos no se mencionan explícitamente en los boletines oficiales. Microsoft persigue una estrategia similar para los huecos que se descubran internamente.

Otro tema de discordia parece ser el punto en el que un defecto se convierte en un hueco. En la vista de Adobe, un hueco aparentemente requiere de un número CVE y un exploit PoC, mientras que Ormandy probablemente sólo informó “bugs únicos”, la mayoría de los cuales fueron descubiertos a través de fuzzing.

Por lo menos Ormandy recibe créditos suficientes en notas de la versión Google para la actualización de Flash Chrome 13.0.782.112: el Equipo Google mencionó que le gustaría dar las gracias a Ormandy “por la donación de una gran cantidad de tiempo y de poder de cómputo para identificar un número significativo de vulnerabilidades”.