مایکروسافت فاش میکند که گوگل جزئیات آسیبپذیری ویندوز را علیرغم درخواستشان برای به تاخیر انداختن آن منتشر کرده است.
3 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
یکی از تحقیقات گوگل یک آسیبپذیری امنیتی وصلهنشده را در ویندوز 8.1 پیدا کرد و او این اشکال را در صفحه تحقیقات امنیتی Google پست کرد و مشروط به 90 روز مهلت افشای آن بود. اگر 90 روز بدون وصله گسترده در دسترس بگذرد، گزارش اشکال به طور خودکار برای عموم قابل مشاهده خواهد بود. با این سیاست، گوگل اطلاعات آسیب پذیری را در وب منتشر کرد. انتشار یک آسیبپذیری روی محصولی مانند ویندوز که روزانه توسط میلیونها نفر استفاده میشود، اقدامی غیرمسئولانه از سوی گوگل بود.
امروز، مایکروسافت تأیید کرد که از گوگل درخواست کرده است تا این فرآیند را به مدت 2 روز به تأخیر بیندازد تا رفع مشکل خود را منتشر کند. اما، گوگل بدون نگرانی در مورد میلیون ها کاربر این درخواست را با خوشحالی رد کرد.
فلسفه و عمل CVD امروز در حال اجراست زیرا یک شرکت - گوگل - اطلاعاتی را درباره آسیبپذیری در یک محصول مایکروسافت منتشر کرده است، دو روز قبل از اصلاح برنامهریزیشده ما در آهنگ شناخته شده و هماهنگ Patch Tuesday، علیرغم درخواست ما برای اجتناب از انجام این کار. به طور خاص، از Google خواستیم تا با پنهان کردن جزئیات تا سهشنبه، ۱۳ ژانویه، زمانی که ما یک اصلاحیه را منتشر میکنیم، برای محافظت از مشتریان با ما همکاری کند. اگرچه دنبال کردن از طریق جدول زمانی اعلام شده گوگل برای افشای اطلاعات مطابقت دارد، اما این تصمیم کمتر شبیه به اصول است و بیشتر شبیه یک "گوچا" است، مشتریانی که ممکن است در نتیجه آسیب ببینند. آنچه برای گوگل مناسب است همیشه برای مشتریان مناسب نیست. ما از Google میخواهیم حفاظت از مشتریان را هدف اصلی ما قرار دهد.
مایکروسافت مدتهاست بر این باور است که افشای هماهنگ رویکرد درستی است و ریسک را برای مشتریان به حداقل می رساند. ما معتقدیم کسانی که یک آسیبپذیری را قبل از اینکه به طور گسترده در دسترس باشد، افشا میکنند، به میلیونها نفر و سیستمهایی که به آنها وابسته هستند آسیب میرسانند. سایر شرکت ها و افراد بر این باورند که افشای کامل ضروری است زیرا مشتریان را مجبور می کند از خود دفاع کنند، حتی اگر اکثریت قریب به اتفاق هیچ اقدامی انجام نمی دهند، زیرا تا حد زیادی به یک ارائه دهنده نرم افزار برای انتشار به روز رسانی امنیتی متکی هستند. حتی برای کسانی که میتوانند اقدامات مقدماتی را انجام دهند، با اعلام عمومی اطلاعاتی که یک مجرم سایبری میتواند از آن برای سازماندهی یک حمله استفاده کند و فرض میکند کسانی که اقدامی انجام میدهند از این موضوع آگاه شدهاند، خطر به طور قابل توجهی افزایش مییابد. از آسیبپذیریهایی که بهطور خصوصی از طریق شیوههای افشای هماهنگ افشا شده و هر ساله توسط همه فروشندگان نرمافزار رفع میشوند، متوجه شدهایم که تقریباً هیچیک قبل از ارائه «اصلاح» به مشتریان مورد سوء استفاده قرار نمیگیرند، و حتی پس از اینکه یک «اصلاح» در دسترس عموم قرار میگیرد، فقط یک مقدار بسیار کمی همیشه مورد سوء استفاده قرار می گیرد. در مقابل، سابقه آسیبپذیریهایی که بهطور عمومی قبل از در دسترس قرار گرفتن اصلاحات برای محصولات آسیبدیده فاش شدهاند، بسیار بدتر است، زیرا مجرمان سایبری اغلب حملاتی را علیه کسانی که از خود محافظت نکردهاند یا نمیتوانند محافظت کنند، سازماندهی میکنند.
جنبه دیگری از بحث CVD مربوط به زمان بندی است - به ویژه مدت زمانی قابل قبول قبل از اینکه یک محقق به طور گسترده وجود یک آسیب پذیری را اعلام کند. رفع اشکال در وب سرویس کاملاً متفاوت از رفع اشکال در ویندوز یک سیستم عامل قدیمی است.
اطلاعات بیشتر در مورد آن از پست وبلاگ مایکروسافت.