Microsoft odhaluje, že Google zveřejnil podrobnosti o zranitelnosti Windows navzdory jejich požadavku na odložení

Domů » Microsoft

Ikona času čtení 3 min. číst

Ikona kalendáře Publikované dne

by Microsoft Novinky 

publikováno dne

Sdílejte tento článek

Čtenáři pomáhají podporovat MSpoweruser. Pokud nakoupíte prostřednictvím našich odkazů, můžeme získat provizi. Ikona popisku

Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více

Google_Monopoly.png

Výzkumník Google našel neopravenou bezpečnostní zranitelnost ve Windows 8.1 a chybu zveřejnil na stránce Google Security Research a na její zveřejnění se vztahovala 90denní lhůta. Pokud uplyne 90 dní bez široce dostupné opravy, hlášení o chybě se automaticky zviditelní veřejnosti. Díky těmto zásadám společnost Google zveřejnila informace o zranitelnosti na webu. Byl to nezodpovědný krok od společnosti Google zveřejnit zranitelnost na produktu, jako je Windows, který každý den používají miliony lidí.

Společnost Microsoft dnes potvrdila, že požádala společnost Google, aby tento proces odložila o 2 dny, dokud nevydá svou opravu. Google však žádost šťastně odmítl, aniž by se staral o miliony uživatelů.

Filozofie a akce CVD se dnes odehrávají, protože jedna společnost – Google – zveřejnila informace o zranitelnosti v produktu Microsoftu, dva dny před plánovanou opravou naší dobře známé a koordinované kadence Patch Tuesday, a to navzdory naší žádosti, aby se tomu vyvarovala. Konkrétně jsme požádali Google, aby s námi spolupracoval na ochraně zákazníků zadržováním podrobností až do úterý 13. ledna, kdy uvolníme opravu. I když dodržování dodržuje oznámenou časovou osu zveřejnění společnosti Google, toto rozhodnutí nevypadá jako zásady, ale spíše jako „problém“, přičemž zákazníci mohou v důsledku toho trpět. Co je správné pro Google, nemusí být vždy správné pro zákazníky. Vyzýváme Google, aby se ochrana zákazníků stala naším společným primárním cílem.

Společnost Microsoft dlouho věřila, že koordinované zveřejňování informací je správný přístup a minimalizuje rizika pro zákazníky. Věříme, že ti, kteří plně odhalí zranitelnost dříve, než bude oprava široce dostupná, prokazují medvědí službu milionům lidí a systémů, na kterých jsou závislí. Jiné společnosti a jednotlivci se domnívají, že úplné zveřejnění je nezbytné, protože nutí zákazníky, aby se bránili, i když naprostá většina nepodnikne žádnou akci, protože jsou do značné míry závislí na poskytovateli softwaru, který vydá aktualizaci zabezpečení. I pro ty, kteří jsou schopni provést přípravné kroky, je riziko výrazně zvýšeno veřejným oznámením informací, které by kyberzločinec mohl použít k zorganizovaní útoku, a předpokládá se, že ti, kteří by podnikli kroky, jsou o problému informováni. Zjistili jsme, že ze zranitelností soukromě odhalených prostřednictvím koordinovaných postupů zveřejňování a opravených každý rok všemi dodavateli softwaru, jsme zjistili, že téměř žádná není zneužita před poskytnutím „opravy“ zákazníkům, a dokonce i poté, co je „oprava“ zveřejněna, pouze velmi malé množství je někdy využíváno. Naopak záznamy o zranitelnostech zveřejněných před tím, než jsou dostupné opravy pro postižené produkty, jsou mnohem horší, přičemž kyberzločinci častěji organizují útoky proti těm, kteří se nechrání nebo nemohou chránit.

Další aspekt diskuse o CVD souvisí s načasováním – konkrétně s množstvím času, které je přijatelné, než výzkumník široce sdělí existenci zranitelnosti. Oprava chyby ve webové službě zcela odlišná od opravy chyby ve Windows, což je deset let starý OS.

Přečtěte si více o tom z příspěvku na blogu společnosti Microsoft.

Více o tématech: Google, microsoft, zabezpečení, zranitelnost, okna

Microsoft Novinky

Microsoft Novinky Štít

Zpravodajství

Microsoft News je bývalý tým redakce MSPowerUser. Dnes spolupracujeme s řadou novinářů a reportérů, kteří nám tipují novinky a události.