Microsoft afslører, at Google har frigivet detaljer om Windows-sårbarhed på trods af deres anmodning om at forsinke det

En Google Researched fandt en ikke-patchet sikkerhedssårbarhed i Windows 8.1, og han postede fejlen på Google Security Research-siden, og den var underlagt en 90 dages offentliggørelsesfrist. Hvis der går 90 dage uden en bredt tilgængelig patch, vil fejlrapporten automatisk blive synlig for offentligheden. Med denne politik offentliggjorde Google sårbarhedsoplysningerne på nettet. Det var et uansvarligt træk fra Google at offentliggøre en sårbarhed på et produkt som Windows, som bliver brugt af millioner af mennesker hver dag.

I dag bekræftede Microsoft, at de bad Google om at udsætte denne proces i 2 dage, indtil de frigiver deres rettelse. Men Google afslog anmodningen lykkeligt uden at bekymre sig om millioner af brugere.

CVD-filosofi og handling udspiller sig i dag, da en virksomhed – Google – har frigivet information om en sårbarhed i et Microsoft-produkt, to dage før vores planlagte rettelse af vores velkendte og koordinerede Patch Tuesday-kadence, på trods af vores anmodning om, at de undgår at gøre det. Specifikt bad vi Google om at arbejde sammen med os for at beskytte kunderne ved at tilbageholde detaljer indtil tirsdag den 13. januar, hvor vi udgiver en rettelse. Selvom det at følge efter holder sig til Googles annoncerede tidslinje for offentliggørelse, føles beslutningen mindre som principper og mere som en "gotcha", med kunderne, der kan lide som følge heraf. Det, der er rigtigt for Google, er ikke altid det rigtige for kunderne. Vi opfordrer Google til at gøre beskyttelse af kunder til vores fælles primære mål.

Microsoft har længe troet, at koordineret offentliggørelse er den rigtige tilgang og minimerer risikoen for kunderne. Vi mener, at de, der fuldt ud afslører en sårbarhed, før en rettelse er bredt tilgængelig, gør en bjørnetjeneste for millioner af mennesker og de systemer, de er afhængige af. Andre virksomheder og enkeltpersoner mener, at fuld afsløring er nødvendig, fordi det tvinger kunder til at forsvare sig selv, selvom langt de fleste ikke foretager sig noget, idet de stort set er afhængige af en softwareudbyder til at udgive en sikkerhedsopdatering. Selv for dem, der er i stand til at tage forberedende skridt, øges risikoen betydeligt ved offentligt at annoncere information, som en cyberkriminel kan bruge til at orkestrere et angreb, og antager, at de, der ville tage handling, bliver gjort opmærksomme på problemet. Af de sårbarheder, der privat afsløres gennem koordineret afsløringspraksis og rettet hvert år af alle softwareleverandører, har vi fundet ud af, at næsten ingen bliver udnyttet, før en "fix" er blevet leveret til kunderne, og selv efter en "fix" er gjort offentligt tilgængelig kun en meget små mængder bliver nogensinde udnyttet. Omvendt er resultaterne af sårbarheder, der offentliggøres, før rettelser er tilgængelige for berørte produkter, langt værre, hvor cyberkriminelle oftere orkestrerer angreb mod dem, der ikke har eller kan beskytte sig selv.

Et andet aspekt af CVD-debatten er relateret til timing - specifikt den tid, der er acceptabel, før en forsker bredt kommunikerer eksistensen af ​​en sårbarhed. Rettelse af en fejl i webtjenesten er helt anderledes end at rette en fejl i Windows, som er et årti gammelt OS.

Læs mere om det fra Microsofts blogindlæg.