Microsoft nezadovoljen z Googlom in objavo ranljivosti v sistemu Windows 8.1

Povzemimo. Lansko poletje je Google napovedal ustanovitev raziskovalne skupine, imenovane 'Project Zero', zadolžene za odkrivanje in opozarjanje na varnostne težave v njegovi programski opremi ali programski opremi drugih podjetij. 30. septembra je ta ekipa opozorila Microsoft na obstoj ranljivosti v sistemu Windows 8.1, ki bi lahko tretjim osebam omogočila pridobitev nadzora nad operacijskim strojem Windows 8.1. To je storil tako, da je priložil obvestilo o 90-dnevnem roku za tiste v Redmondu, da ga rešijo, preden ga objavijo v celoti.

To zadnje se je končalo prejšnji teden. Po teh 90 dneh, ko je Microsoft ni mogel končati z odpravljanjem, je ranljivost javno objavila Googlova raziskovalna skupina, ki je vsem omogočila, da izve zanjo in podrobno opisala, kako bi lahko izkoriščali. To ni bilo všeč v Redmondu, kjer so že delali na rešitvi. Tako malo je bilo všeč, da se je Chris Betz, višji direktor v Microsoftovem varnostnem odzivnem centru (MSRC), odločil objaviti sporočilo, v katerem obžaluje dejanje tistih iz Mountain Viewa in poziva k boljšemu razumevanju med varnostnimi ekipami podjetij.

Betz je zelo kritičen do Googlove uspešnosti na tem področju. Očitno bi iz Redmonda prosil ekipo 'Project Zero', naj odloži objavo razsodbe do 13. januarja, takrat so načrtovali distribucijo rešitve prek njegovi dobro znani torkovi popravki.Na žalost tisti iz Mountain Viewa niso ugodili zahtevi, kar je spodbudilo njihov odziv, da zagovarjajo boljši način sodelovanja v tovrstnih situacijah.

Pri Microsoftu menijo, da je strategija, ki ji sledi Google, napačna, da raziskovalna skupina najde ranljivosti v konkurenčnih izdelkih, kar povečuje pritisk z rok, ki ga je treba rešiti, in grozi z objavo, če bo prekoračen. Vse ranljivosti ne predstavljajo enake stopnje nevarnosti in pogosto nimajo hitre rešitve ali pa je njihova uporaba bolj ali manj zapletena, zato odštevanje do njihove objave ni najboljši način za spodbujanje njihove rešitve.

Iz Redmonda zavzemajte več za raziskovalce, da zasebno opozorijo podjetja na morebitne ranljivosti in sodelujejo z njimi pri popravku, ne da bi zahtevali začasne ali grozeče omejitve objava.

Via | Microsoft