Microsoft не е доволен от Google и публикуването на уязвимост в Windows 8.1

Да обобщим. Миналото лято Google обяви създаването на изследователска група, наречена „Project Zero“, която да отговаря за откриването и предупреждаването за проблеми със сигурността в своя софтуер или този на други компании. На 30 септември този екип предупреди Microsoft за съществуването на уязвимост в Windows 8.1, която може да позволи на трети страни да получат контрол върху операционна машина с Windows 8.1. Той направи това, като придружи известието за 90-дневен срок за хората в Редмънд да го решат, преди да го направи напълно публичен.

Последното се случи миналата седмица. След тези 90 дни, без Microsoft да успее да завърши поправката, уязвимостта беше оповестена публично от изследователската група на Google, позволявайки на всеки да знае за нея и подробно описва как биха могли да бъдат експлоатирани. Това не се хареса в Редмънд, където вече работеха по решение. Толкова малко се хареса, че Крис Бетц, старши директор в Microsoft Security Response Center (MSRC), реши да публикува бележка, в която съжалява за действието на тези от Mountain View и призовава за по-добро разбирателство между екипите по сигурността на компаниите.

Бетц е много критичен към представянето на Google по въпроса. Очевидно от Редмънд щеше да поиска от екипа на „Проект Нула“ да отложи публикуването на решението до 13 януари, когато планираха да разпространят решение чрез неговите добре познати пачове във вторник.За съжаление, тези от Mountain View не се съобразиха с искането и това мотивира отговора им да защитават по-добър начин за сътрудничество в този тип ситуации.

В Microsoft те смятат, че стратегията, следвана от Google, е погрешна да има изследователски екип да открие уязвимости в конкурентни продукти, добавяйки натиск с срок, в който те трябва да бъдат решени, и заплаха да го публикуват, ако той бъде надвишен. Не всички уязвимости представляват еднакво ниво на заплаха и често нямат бързо решение или приложението им е повече или по-малко сложно, така че установяването на обратно броене за публикуването им не е най-добрият начин за насърчаване на тяхното решение.

От Редмънд застъпва се повече за изследователите да предупреждават частно компаниите за потенциални уязвимости и да работят с тях за коригиране, без да изискват временни ограничения или заплахи публикация.

През | Microsoft