Microsoft paljastaa, että Google julkaisi yksityiskohtia Windowsin haavoittuvuudesta huolimatta heidän pyynnöstään lykätä sitä
3 min. lukea
Julkaistu
Jaa tämä artikkeli
Paranna tätä ohjetta
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
Google-tutkija löysi korjaamattoman tietoturvahaavoittuvuuden Windows 8.1:ssä ja julkaisi virheen Googlen tietoturvatutkimussivulle, ja sille asetettiin 90 päivän ilmoitusaika. Jos 90 päivää kuluu ilman laajasti saatavilla olevaa korjaustiedostoa, virheraportti tulee automaattisesti näkyviin julkisesti. Tämän käytännön mukaisesti Google julkaisi haavoittuvuustiedot verkossa. Se oli vastuuton siirto Googlelta, kun se julkaisi Windowsin kaltaisen tuotteen haavoittuvuuden, jota miljoonat ihmiset käyttävät päivittäin.
Microsoft vahvisti tänään pyytäneensä Googlea viivyttämään tätä prosessia kahdella päivällä, kunnes se julkaisee korjauksensa. Google kuitenkin hylkäsi pyynnön onnellisena välittämättä miljoonista käyttäjistä.
CVD-filosofia ja -toiminta etenee tänään, kun yksi yritys – Google – on julkaissut tiedot Microsoft-tuotteen haavoittuvuudesta kaksi päivää ennen suunniteltua korjausta tunnettuun ja koordinoituun korjauspäivitystiistaihimme, vaikka pyydämme heitä välttämään niin. Pyysimme Googlea työskentelemään kanssamme asiakkaiden suojelemiseksi pitämällä tietoja tiistaihin 13. tammikuuta asti, jolloin julkaisemme korjauksen. Vaikka noudattaminen noudattaa Googlen ilmoittamaa julkistamisaikataulua, päätös tuntuu vähemmän periaatteilta, vaan pikemminkin "huijaukselta", ja asiakkaat voivat kärsiä siitä. Se, mikä sopii Googlelle, ei aina sovi asiakkaille. Kehotamme Googlea asettamaan asiakkaiden turvaamisen ensisijaiseksi tavoitteeksemme.
Microsoft on pitkään uskonut, että koordinoitu tietojen paljastaminen on oikea lähestymistapa ja minimoi asiakkaille aiheutuvat riskit. Uskomme, että ne, jotka paljastavat haavoittuvuuden kokonaan ennen kuin korjaus on laajalti saatavilla, tekevät karhunpalveluksen miljoonille ihmisille ja järjestelmille, joista he ovat riippuvaisia. Muut yritykset ja yksityishenkilöt uskovat, että täydellinen julkistaminen on välttämätöntä, koska se pakottaa asiakkaat puolustautumaan, vaikka suurin osa ei ryhdy toimenpiteisiin, koska ne ovat suurelta osin riippuvaisia tietoturvapäivityksen julkaisemisesta ohjelmistotoimittajasta. Myös niille, jotka pystyvät ryhtymään valmisteleviin toimenpiteisiin, riski kasvaa merkittävästi, kun julkisesti tiedotetaan tiedoista, joita kyberrikollinen voisi käyttää hyökkäyksen järjestämiseen, ja oletetaan, että toimenpiteisiin ryhtyneet ovat tietoisia asiasta. Olemme havainneet, että haavoittuvuuksista, jotka julkistetaan yksityisesti koordinoidun tiedonantokäytännön kautta ja jotka kaikki ohjelmistotoimittajat korjaavat vuosittain, lähes yhtäkään ei käytetä hyväksi ennen kuin "korjaus" on toimitettu asiakkaille, ja jopa sen jälkeen, kun "korjaus" on julkisesti saatavilla vain hyvin pieniä määriä käytetään koskaan hyväksi. Sitä vastoin haavoittuvuuksien historia, jotka on julkistettu ennen kuin korjauksia on saatavilla kyseisille tuotteille, on paljon huonompi, sillä kyberrikolliset järjestävät useammin hyökkäyksiä niitä vastaan, jotka eivät ole tai pysty suojelemaan itseään.
Toinen CVD-keskustelun näkökohta liittyy ajoitukseen – erityisesti aika, joka on hyväksyttävää ennen kuin tutkija ilmoittaa laajasti haavoittuvuuden olemassaolosta. Verkkopalvelun vian korjaaminen on täysin erilaista kuin vuosikymmenen vanhan Windows-käyttöjärjestelmän virheen korjaaminen.
Lue lisää Microsoftin blogikirjoituksesta.
