مایکروسافت فاش می‌کند که گوگل جزئیات آسیب‌پذیری ویندوز را علی‌رغم درخواستشان برای به تاخیر انداختن آن منتشر کرده است.

صفحه اصلی » مایکروسافت

نماد زمان خواندن 3 دقیقه خواندن

نماد تقویم منتشر شده در

by اخبار مایکروسافت 

منتشر شده در

این مقاله را به اشتراک بگذارید

خوانندگان به پشتیبانی از MSpoweruser کمک می کنند. در صورت خرید از طریق پیوندهای ما ممکن است کمیسیون دریافت کنیم. نماد راهنمای ابزار

صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب

Google_Monopoly.png

یکی از تحقیقات گوگل یک آسیب‌پذیری امنیتی وصله‌نشده را در ویندوز 8.1 پیدا کرد و او این اشکال را در صفحه تحقیقات امنیتی Google پست کرد و مشروط به 90 روز مهلت افشای آن بود. اگر 90 روز بدون وصله گسترده در دسترس بگذرد، گزارش اشکال به طور خودکار برای عموم قابل مشاهده خواهد بود. با این سیاست، گوگل اطلاعات آسیب پذیری را در وب منتشر کرد. انتشار یک آسیب‌پذیری روی محصولی مانند ویندوز که روزانه توسط میلیون‌ها نفر استفاده می‌شود، اقدامی غیرمسئولانه از سوی گوگل بود.

امروز، مایکروسافت تأیید کرد که از گوگل درخواست کرده است تا این فرآیند را به مدت 2 روز به تأخیر بیندازد تا رفع مشکل خود را منتشر کند. اما، گوگل بدون نگرانی در مورد میلیون ها کاربر این درخواست را با خوشحالی رد کرد.

فلسفه و عمل CVD امروز در حال اجراست زیرا یک شرکت - گوگل - اطلاعاتی را درباره آسیب‌پذیری در یک محصول مایکروسافت منتشر کرده است، دو روز قبل از اصلاح برنامه‌ریزی‌شده ما در آهنگ شناخته شده و هماهنگ Patch Tuesday، علی‌رغم درخواست ما برای اجتناب از انجام این کار. به طور خاص، از Google خواستیم تا با پنهان کردن جزئیات تا سه‌شنبه، ۱۳ ژانویه، زمانی که ما یک اصلاحیه را منتشر می‌کنیم، برای محافظت از مشتریان با ما همکاری کند. اگرچه دنبال کردن از طریق جدول زمانی اعلام شده گوگل برای افشای اطلاعات مطابقت دارد، اما این تصمیم کمتر شبیه به اصول است و بیشتر شبیه یک "گوچا" است، مشتریانی که ممکن است در نتیجه آسیب ببینند. آنچه برای گوگل مناسب است همیشه برای مشتریان مناسب نیست. ما از Google می‌خواهیم حفاظت از مشتریان را هدف اصلی ما قرار دهد.

مایکروسافت مدتهاست بر این باور است که افشای هماهنگ رویکرد درستی است و ریسک را برای مشتریان به حداقل می رساند. ما معتقدیم کسانی که یک آسیب‌پذیری را قبل از اینکه به طور گسترده در دسترس باشد، افشا می‌کنند، به میلیون‌ها نفر و سیستم‌هایی که به آنها وابسته هستند آسیب می‌رسانند. سایر شرکت ها و افراد بر این باورند که افشای کامل ضروری است زیرا مشتریان را مجبور می کند از خود دفاع کنند، حتی اگر اکثریت قریب به اتفاق هیچ اقدامی انجام نمی دهند، زیرا تا حد زیادی به یک ارائه دهنده نرم افزار برای انتشار به روز رسانی امنیتی متکی هستند. حتی برای کسانی که می‌توانند اقدامات مقدماتی را انجام دهند، با اعلام عمومی اطلاعاتی که یک مجرم سایبری می‌تواند از آن برای سازماندهی یک حمله استفاده کند و فرض می‌کند کسانی که اقدامی انجام می‌دهند از این موضوع آگاه شده‌اند، خطر به طور قابل توجهی افزایش می‌یابد. از آسیب‌پذیری‌هایی که به‌طور خصوصی از طریق شیوه‌های افشای هماهنگ افشا شده و هر ساله توسط همه فروشندگان نرم‌افزار رفع می‌شوند، متوجه شده‌ایم که تقریباً هیچ‌یک قبل از ارائه «اصلاح» به مشتریان مورد سوء استفاده قرار نمی‌گیرند، و حتی پس از اینکه یک «اصلاح» در دسترس عموم قرار می‌گیرد، فقط یک مقدار بسیار کمی همیشه مورد سوء استفاده قرار می گیرد. در مقابل، سابقه آسیب‌پذیری‌هایی که به‌طور عمومی قبل از در دسترس قرار گرفتن اصلاحات برای محصولات آسیب‌دیده فاش شده‌اند، بسیار بدتر است، زیرا مجرمان سایبری اغلب حملاتی را علیه کسانی که از خود محافظت نکرده‌اند یا نمی‌توانند محافظت کنند، سازماندهی می‌کنند.

جنبه دیگری از بحث CVD مربوط به زمان بندی است - به ویژه مدت زمانی قابل قبول قبل از اینکه یک محقق به طور گسترده وجود یک آسیب پذیری را اعلام کند. رفع اشکال در وب سرویس کاملاً متفاوت از رفع اشکال در ویندوز یک سیستم عامل قدیمی است.

اطلاعات بیشتر در مورد آن از پست وبلاگ مایکروسافت.

بیشتر در مورد موضوعات: گوگل, مایکروسافت, تیم امنیت لاتاری, آسیب پذیری, پنجره

اخبار مایکروسافت

اخبار مایکروسافت سپر

اتاق خبر

Microsoft News تیم اتاق خبر سابق MSPowerUser است. امروز، ما با خبرنگاران و گزارش‌های مختلفی کار می‌کنیم که اخبار و رویدادها را به ما اطلاع می‌دهند.