Η Microsoft αποκαλύπτει ότι η Google δημοσίευσε λεπτομέρειες σχετικά με την ευπάθεια των Windows παρά το αίτημά της να το καθυστερήσουν

Ένας ερευνητής της Google βρήκε μια ευπάθεια ασφαλείας που δεν έχει επιδιορθωθεί στα Windows 8.1 και δημοσίευσε το σφάλμα στη σελίδα Έρευνας για την Ασφάλεια της Google και υπόκειται σε προθεσμία αποκάλυψης 90 ημερών. Εάν περάσουν 90 ημέρες χωρίς μια ευρέως διαθέσιμη ενημέρωση κώδικα, τότε η αναφορά σφάλματος θα γίνει αυτόματα ορατή στο κοινό. Με αυτήν την πολιτική, η Google δημοσίευσε τις πληροφορίες ευπάθειας στον ιστό. Ήταν μια ανεύθυνη κίνηση από την Google να δημοσιεύσει μια ευπάθεια σε ένα προϊόν όπως τα Windows που χρησιμοποιείται από εκατομμύρια ανθρώπους καθημερινά.

Σήμερα, η Microsoft επιβεβαίωσε ότι ζήτησε από την Google να καθυστερήσει αυτήν τη διαδικασία για 2 ημέρες μέχρι να κυκλοφορήσει την επιδιόρθωση. Ωστόσο, η Google απέρριψε το αίτημα ευτυχώς χωρίς να ανησυχεί για εκατομμύρια χρήστες.

Η φιλοσοφία και η δράση του CVD διαδραματίζονται σήμερα καθώς μία εταιρεία - η Google - δημοσίευσε πληροφορίες σχετικά με μια ευπάθεια σε ένα προϊόν της Microsoft, δύο ημέρες πριν από την προγραμματισμένη επιδιόρθωση του γνωστού και συντονισμένου ρυθμού μας Patch Tuesday, παρά το αίτημά μας να αποφύγουν να το κάνουν. Συγκεκριμένα, ζητήσαμε από την Google να συνεργαστεί μαζί μας για την προστασία των πελατών αποκρύπτοντας λεπτομέρειες μέχρι την Τρίτη, 13 Ιανουαρίου, όταν θα κυκλοφορήσουμε μια επιδιόρθωση. Αν και η παρακολούθηση τηρεί το ανακοινωθέν χρονοδιάγραμμα της Google για αποκάλυψη, η απόφαση μοιάζει λιγότερο με αρχές και περισσότερο σαν «γκότσα», με τους πελάτες που μπορεί να υποφέρουν ως αποτέλεσμα. Αυτό που είναι σωστό για την Google δεν είναι πάντα σωστό για τους πελάτες. Προτρέπουμε την Google να καταστήσει τον συλλογικό μας πρωταρχικό στόχο την προστασία των πελατών.

Η Microsoft πιστεύει από καιρό ότι η συντονισμένη αποκάλυψη είναι η σωστή προσέγγιση και ελαχιστοποιεί τον κίνδυνο για τους πελάτες. Πιστεύουμε ότι όσοι αποκαλύπτουν πλήρως μια ευπάθεια προτού μια επιδιόρθωση είναι ευρέως διαθέσιμη, κάνουν κακό σε εκατομμύρια ανθρώπους και στα συστήματα από τα οποία εξαρτώνται. Άλλες εταιρείες και ιδιώτες πιστεύουν ότι η πλήρης αποκάλυψη είναι απαραίτητη, επειδή αναγκάζει τους πελάτες να αμυνθούν, παρόλο που η συντριπτική πλειονότητα δεν αναλαμβάνει καμία ενέργεια, καθώς εξαρτάται σε μεγάλο βαθμό από έναν πάροχο λογισμικού για την έκδοση μιας ενημέρωσης ασφαλείας. Ακόμη και για εκείνους που μπορούν να λάβουν προπαρασκευαστικά βήματα, ο κίνδυνος αυξάνεται σημαντικά με τη δημόσια ανακοίνωση πληροφοριών που θα μπορούσε να χρησιμοποιήσει ένας κυβερνοεγκληματίας για να ενορχηστρώσει μια επίθεση και υποθέτοντας ότι αυτοί που θα αναλάβουν δράση έχουν ενημερωθεί για το θέμα. Από τα τρωτά σημεία που αποκαλύπτονται ιδιωτικά μέσω συντονισμένων πρακτικών αποκάλυψης και επιδιορθώνονται κάθε χρόνο από όλους τους προμηθευτές λογισμικού, έχουμε διαπιστώσει ότι σχεδόν κανένα δεν γίνεται αντικείμενο εκμετάλλευσης πριν από την παροχή μιας "επιδιόρθωσης" στους πελάτες και ακόμη και μετά τη δημοσιοποίηση μιας "διόρθωσης" μόνο πολύ μικρή ποσότητα γίνεται ποτέ εκμετάλλευση. Αντίθετα, το ιστορικό των τρωτών σημείων που αποκαλύφθηκαν δημόσια πριν από τη διάθεση επιδιορθώσεων για προϊόντα που επηρεάζονται είναι πολύ χειρότερο, με τους εγκληματίες του κυβερνοχώρου να ενορχηστρώνουν συχνότερα επιθέσεις εναντίον εκείνων που δεν έχουν ή δεν μπορούν να προστατεύσουν τον εαυτό τους.

Μια άλλη πτυχή της συζήτησης για το CVD σχετίζεται με το χρονοδιάγραμμα – συγκεκριμένα το χρονικό διάστημα που είναι αποδεκτό πριν ο ερευνητής κοινοποιήσει ευρέως την ύπαρξη μιας ευπάθειας. Η διόρθωση ενός σφάλματος στην υπηρεσία ιστού είναι εντελώς διαφορετική από την επιδιόρθωση ενός σφάλματος στα Windows που είναι λειτουργικό σύστημα δεκαετίας.

Διαβάστε περισσότερα για αυτό από την ανάρτηση ιστολογίου της Microsoft.