• Registrarse
  • Iniciar sesión


  • Página 1 de 2 12 ÚltimoÚltimo
    Resultados 1 al 10 de 12

    Google publica vulnerabilidad de Windows 8.1 antes que Microsoft la parchee

    Google publica vulnerabilidad de Windows 8.1 antes que Microsoft la parchee Google ha publicado una vulnerabilidad de Windows 8.1 y la manera de explotarla antes que Microsoft tenga disponible el parche para ella, lo que ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Google publica vulnerabilidad de Windows 8.1 antes que Microsoft la parchee

      Google publica vulnerabilidad de Windows 8.1 antes que Microsoft la parchee



      Google ha publicado una vulnerabilidad de Windows 8.1 y la manera de explotarla antes que Microsoft tenga disponible el parche para ella, lo que ha provocado el debate en Internet.

      Google estrenó el pasado verano un ambicioso proyecto bautizado como Project Zero que incluye a un equipo de especialistas en seguridad que trabajan para localizar vulnerabilidades en software de terceros, informando de las mismas a los respectivos desarrolladores para que emitan el parche correspondiente.

      Este equipo fue el que descubrió esta vulnerabilidad en las versiones de 32 y 64 bits de Windows 8.1 que permite una elevación de privilegios.

      Google informó a Microsoft de esta vulnerabilidad el 30 de septiembre y bajo las políticas de divulgación de Project Zero comunicó al gigante del software que la haría pública en 90 días.

      Pasado el plazo, Google ha publicado la vulnerabilidad como había advertido lo que ha provocado el debate el la Red de redes. ¿Debería Google haber esperado hasta que Microsoft parcheara la vulnerabilidad? ¿Es un plazo razonable? ¿Debería Microsoft haber parcheado la misma en esos 90 días?

      No es la primera vez que esto sucede. En la mayoría de ocasiones, los investigadores de seguridad cansados que no se parcheen las vulnerabilidades encontradas publican las mismas precisamente para “forzar” su corrección.

      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Chelusa
      Registrado
      dic 2014
      Ubicación
      argentina
      Mensajes
      111

      Re: Google publica vulnerabilidad de Windows 8.1 antes que Microsoft la parchee

      es dificil de entender, pero muchas veces hay que forzar la mano del grande de microsoft, mas con el famoso 8.1

    3. #3
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Re: Google publica vulnerabilidad de Windows 8.1 antes que Microsoft la parchee

      si, aunque google dio el tiempo necesario lo mejor hubiera sido que esperará un tiempo más hasta que "sellaran" la vulnerabilidad.

      Saludos y gracias por el comentario.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    4. #4
      Usuario Avatar de maxirx
      Registrado
      jun 2012
      Ubicación
      Argentina
      Mensajes
      23

      Re: Google publica vulnerabilidad de Windows 8.1 antes que Microsoft la parchee

      El codigo fuente de windows no esta "oculto"?

      Podrian haber esperado, es verdad, pero creo que es mas bien una guerra de marcas entre empresas. Google se lleva cierto credito y algunas criticas. Y Microsoft solo criticas. Mas aun con sus black tuesday que minan el prestigio que pudieran conseguir.

    5. #5
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Re: Google publica vulnerabilidad de Windows 8.1 antes que Microsoft la parchee

      Si, tienes razón en eso pero debió esperar ya que lo más perjudicados son los usuarios.

      Cita Originalmente publicado por PoderPda
      Microsoft asegura que ya tenía programada una actualización para parchar los errores que Google publicó, pero la actualización de Windows 8.1 llegaría durante el ya tradicional “martes de parches” para el sistema de las ventanas. Según los de Redmond el que la empresa del buscador publicara los errores solamente pone en riesgo la seguridad de los clientes, y todo parece indicar que la acción por parte de los de Larry Page era más para poner evidencia a Microsoft que para ayudar a los clientes.
      saludos y gracias por el comentario.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      Ex-Colaborador Avatar de @Frank_JPS
      Registrado
      abr 2012
      Ubicación
      España
      Mensajes
      2.457

      Re: Google publica vulnerabilidad de Windows 8.1 antes que Microsoft la parchee

      Hola!

      Yo pienso que Google hizo bien. ¿Por qué esperar? Para que los "malos" la encuentren y asi aprovecharse mas aun de los usuarios ??

      Me gusta este proyecto de google que da la oportunidad (90 días) a las empresas (esta vez a Microsoft) de solucionar su vulnerabilidades y si no lo hacen en ese plazo se publica para como dice la noticia forzar a las empresas a reparar estas vulnerabilidades. Mucha gente (hacker ético) publica vulnerabilidades para eso mismo, para que las solucionen!.

      ¿Google debió esperar dos o tres días mas para publicarlas? No, no lo creo. Una empresa no tiene que estar a la "espera" de lo que otra haga o deje de hacer.

      No obstante creo que google avisó a Microsoft unos días antes par que no coincidiera con el "Martes de Actualizaciones" y así quedara con "el culo al aire". También creo que 90 días son mas que suficientes y que si Microsoft hubiera querido no se hubiese quedado con el "culo al aire".


      Saludos!
      Última edición por @Javier_HF fecha: 14/01/15 a las 19:29:48
      Mudo13

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #7
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Re: Google publica vulnerabilidad de Windows 8.1 antes que Microsoft la parchee

      El problema es que no sólo microsoft se queda de esa forma sino también sus usuarios. 90 días parece un tiempo aceptable sin embargo, también se debe tener en cuenta que no es la única vulnerabilidad que debe ser reparada además que, también deben solucionar otros problemas que hayan surgido con otras actualizaciones, pero bueno, todo depende de la disponibilidad del personal.

      saludos y gracias por el comentario.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    8. #8
      Ex-Colaborador Avatar de Gemsa_03
      Registrado
      feb 2012
      Ubicación
      Málaga-España
      Mensajes
      6.615

      Re: Google publica vulnerabilidad de Windows 8.1 antes que Microsoft la parchee

      Cita Originalmente publicado por Woaxxx Ver Mensaje
      El problema es que no sólo microsoft se queda de esa forma sino también sus usuarios. 90 días parece un tiempo aceptable sin embargo, también se debe tener en cuenta que no es la única vulnerabilidad que debe ser reparada además que, también deben solucionar otros problemas que hayan surgido con otras actualizaciones, pero bueno, todo depende de la disponibilidad del personal.

      saludos y gracias por el comentario.
      Coincido plenamente contigo, ya no es "meter caña" a Micro. si no que afecta directamente a los Usuarios y eso es lo realmente importante, al margen de lo que comentas sobre la capacidad o no de responder a tiempo, para solucionar la vulnerabilidad.

      Saludos.
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    9. #9
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Re: Google publica vulnerabilidad de Windows 8.1 antes que Microsoft la parchee

      Gracias compañero.

      saludos cordiales.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    10. #10
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Re: Google publica vulnerabilidad de Windows 8.1 antes que Microsoft la parchee

      Google Revela otro error en Windows que Microsoft no ha podido reparar.


      Google ha dado a conocer los detalles de otra vulnerabilidad en Windows. Microsoft planeaba reparar el defecto con las actualizaciones de enero, pero se vio obligada a retrasar el parche debido a problemas de compatibilidad.


      La divulgación de vulnerabilidades "El juego" entre Microsoft y Google continúa. El jueves, Google reveló por partes/ información de un fallo de seguridad que afecta tanto a Windows 7 y Windows 8.1. El error fue reportado a Microsoft el 17 de octubre y sus detalles se hicieron públicos automáticamente después que expiró el plazo de divulgación de 90 días que google da.

      "La función CryptProtectMemory permite que una aplicación encripte la memoria en uno de tres escenarios, el proceso, la sesión de inicio de sesión y de la computadora. Al utilizar la opción inicio de sesión (CRYPTPROTECTMEMORY_SAME_LOGON flag) se genera la clave de cifrado basándose en el identificador de sesión de inicio de sesión, esto es para compartir la memoria entre procesos que se ejecutan en el mismo inicio de sesión. Como esto puede también usarse para enviar datos de un proceso a otro extrayendo la id de inicio de sesión desde el soporte símbolo (token) haciendo posible una suplantación de identidad," señaló en un informe el investigador de Google Project Zero James Forshaw.

      "El problema es que la aplicación en CNG.sys no comprueba el nivel de suplantación del token al capturar el identificador de sesión de inicio de sesión (utilizando SeQueryAuthenticationIdToken) por lo que un usuario normal puede suplantar el nivel de identificación y descifrar o cifrar los datos para esa sesión de inicio de sesión. Esto podría ser un problema si hay un servicio que es vulnerable a un ataque named pipe planting o si almacena datos cifrados en una sección de la memoria que puede ser leída por otros procesos", añadió Forshaw.

      Microsoft informó a Google a finales de octubre que habían logrado reproducir el problema. Después, la compañía le dijo a Google que había planeado lanzar un arreglo en enero, pero el parche tuvo que ser retirado debido a problemas de compatibilidad. La vulnerabilidad es probable que sea reparada en febrero, señaló Microsoft.

      Esta es la tercera vulnerabilidad en Windows que es divulgada por Google antes de que Microsoft pueda lanzar una solución. Después que Google publicó los detalles de dos vulnerabilidades en la escala de privilegios en Windows, Microsoft criticó al gigante de las búsquedas y la acusó de poner en riesgo a los usuarios.

      Google también fue criticado por algunos miembros de la comunidad de infosec por obligar apegarse a su plazo de divulgación de 90 días. La compañía se ha comprometido a revisar el proceso, pero cree que "los plazos de divulgación son actualmente el enfoque óptimo para la seguridad del usuario."

      "Parece ser que Google se mantendrá con el cronograma de divulgación, la decisión se siente más como un 'te pillé" que algo hecho por principios, pudiendo poner en peligro a los clientes como resultado de esto. Lo que es correcto para Google no siempre es lo más adecuado para los clientes. Instamos a Google a hacer de la protección de los clientes nuestro principal objetivo colectivo ", escribió en el blog Chris Betz, director del Centro de Respuesta de Seguridad de Microsoft,


      La respuesta de Betz llegó después de que Google revelará la segunda vulnerabilidad en la escalada de privilegios a sólo dos días antes de que Microsoft lanzara su martes de parches en actualizaciones de seguridad para el mes de enero, que repara las cuestiones de escalada de privilegios.

      "Google está en lo correcto", dijo Robert Gram de Errata Security’s. "Ya que no podemos crear el software perfecto, tenemos que hacer correcciones rápidas y frecuentes que el estándar. Nadie debería estar en el negocio de proveer software "seguro" sino puede reparar sus errores rápidamente. Parece ser que 90 días es demasiado corto, pero realmente no lo es. Microsoft necesita avanzar con los tiempos y adoptar metodologías 'ágiles', o dejar su legado a otros para las próximas décadas como lo hizo IBM y sus mianframes"

      Fuente: SecurityWeek
      Última edición por @JoseAsuncion fecha: 17/01/15 a las 14:50:40
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    Página 1 de 2 12 ÚltimoÚltimo