Google publica dos vulnerabilidades de Windows

Tan sólo unos días después, la historia se repite y Google ha vuelto a publicar vulnerabilidades de Windows sin que éstas hayan sido corregidas todavía por Microsoft.

La polémica suscitada por la publicación de una importante vulnerabilidad de Windows por parte de Google, como parte de su programa Project Zero, vuelve a salpicar tanto a Microsoft como la propia Google. Si bien la empresa de Mountain View no ha hecho sino aplicar lo mismo que hace con cualquier otra vulnerabilidad que descubren, en Redmond no ha sentado nada bien que no tengan una consideración especial, teniendo en cuenta las repercusiones de publicar este tipo de vulnerabilidades en un sistema operativo tan importante como Windows.

Lo ocurrido en este caso es un calco idéntico de lo que pasó hace unos días. Google notificó a Microsoft de la vulnerabilidad para que la corrigieran, al haber pasado ya 90 días desde el aviso, estiman que ya ha pasado tiempo suficiente para que los usuarios la conozcan y puedan valorar los riesgos. Eso sí, en este caso son dos las vulnerabilidades desveladas.

Por un lado una menos importante que afecta a Windows 7 únicamente, pero por otro lado hay una mucho más seria que afecta tanto a Windows 7 y Windows 8, respecto a la función CryptProtectMemory y que permitiría acceder a datos que no han sido cifrados de forma segura.

Si bien en el mundo open source esto no supondría un grave problema, ya que los propios usuarios podrían buscar soluciones, al ser Windows un sistema propietario depende únicamente de la propia Microsoft y de que saquen un parche al respecto. Esta situación por ahora no se ha dado, por lo que todos los usuarios se encuentran en un riesgo importante, ya que los detalles de la vulnerabilidad ya son públicos.