Microsoft незадоволена Google і публікацією вразливості в Windows 8.1

Підсумуємо. Минулого літа Google оголосив про створення дослідницької групи під назвою «Project Zero», яка відповідає за виявлення та попередження про проблеми безпеки в її програмному забезпеченні або програмному забезпеченні інших компаній. 30 вересня ця команда попередила Microsoft про існування вразливості в Windows 8.1, яка може дозволити третім сторонам отримати контроль над робочою машиною Windows 8.1. Він зробив це, супроводжуючи повідомлення про 90-денний термін для тих, хто в Редмонді, щоб вирішити це, перш ніж оприлюднити його повністю.

Останнє сталося минулого тижня. Після 90 днів, коли корпорація Майкрософт не змогла завершити її усунення, дослідницька група Google оприлюднила цю вразливість, дозволяючи будь-кому дізнатися про неї та детально описуючи, як вона можна було б експлуатувати. Це не сподобалося в Редмонді, де вони вже працювали над рішенням. Настільки мало сподобалося, що Кріс Бетц, старший директор Microsoft Security Response Center (MSRC), вирішив опублікувати записку, у якій висловив жаль щодо дій людей з Маунтін-В’ю та закликав до кращого взаєморозуміння між командами безпеки компаній.

Бетц дуже критично оцінює роботу Google у цьому питанні. Очевидно, з Редмонда попросили б команду «Project Zero» відкласти публікацію рішення до 13 січня, коли вони планували розповсюдити рішення через його добре відомі вівторкові патчі.На жаль, працівники Маунтін-В’ю не задовольнили прохання, і це спонукало їхню відповідь на захист кращого способу співпраці в таких ситуаціях.

У Microsoft вони вважають неправильною стратегію, якої дотримується Google полягає в тому, щоб дослідницька група знаходила вразливості в конкуруючих продуктах, посилюючи тиск з боку обмеження часу для їх вирішення та погрози опублікувати його, якщо він буде перевищений. Не всі вразливості становлять однаковий рівень загрози, і часто вони не мають швидкого вирішення або їх застосування є більш-менш складним, тому встановлення зворотного відліку для їх публікації не є найкращим способом заохотити їх вирішення.

Від Редмонда пропагувати дослідникам приватно сповіщати компанії про потенційні вразливості та працювати з ними над виправленням, не вимагаючи тимчасових обмежень або загроз публікація.

Через | Microsoft