Microsoft otkriva da je Google objavio detalje o ranjivosti Windowsa unatoč njihovom zahtjevu da to odgodi

Googleov je istražitelj pronašao nezakrpanu sigurnosnu ranjivost u sustavu Windows 8.1 i objavio je grešku na stranici Googleovih sigurnosnih istraživanja i podlijegao je roku od 90 dana za otkrivanje. Ako prođe 90 dana bez široko dostupne zakrpe, tada će izvješće o pogrešci automatski postati vidljivo javnosti. Ovim pravilom Google je objavio informacije o ranjivostima na webu. Bio je to neodgovoran potez Googlea da objavi ranjivost na proizvodu kao što je Windows koji svakodnevno koriste milijuni ljudi.

Danas je Microsoft potvrdio da su od Googlea zatražili odgodu ovog procesa na 2 dana dok ne objave svoj popravak. Ali, Google je sretno odbio zahtjev bez brige o milijunima korisnika.

CVD filozofija i djelovanje odvijaju se danas kada je jedna tvrtka – Google – objavila informacije o ranjivosti u Microsoftovom proizvodu, dva dana prije našeg planiranog popravka na našoj dobro poznatoj i koordiniranoj taktici Patch Tuesday-a, unatoč našem zahtjevu da to izbjegnu. Konkretno, tražili smo od Googlea da surađuje s nama kako bismo zaštitili klijente tako što ćemo zadržati detalje do utorka, 13. siječnja, kada ćemo objaviti popravak. Iako se pridržavanje Googleovog najavljenog vremenskog okvira za otkrivanje, odluka se čini manje kao načela, a više kao "gotcha", s korisnicima koji bi mogli patiti zbog toga. Ono što je ispravno za Google nije uvijek dobro za korisnike. Pozivamo Google da zaštita korisnika postane naš zajednički primarni cilj.

Microsoft već dugo vjeruje da je koordinirano otkrivanje ispravan pristup i smanjuje rizik za korisnike. Vjerujemo da oni koji u potpunosti otkriju ranjivost prije nego što je popravak široko dostupan, čine medvjeđu uslugu milijunima ljudi i sustavima o kojima ovise. Druge tvrtke i pojedinci vjeruju da je potpuno otkrivanje potrebno jer tjera kupce da se brane, iako velika većina ne poduzima ništa, budući da se u velikoj mjeri oslanjaju na pružatelja softvera da objavi sigurnosnu nadogradnju. Čak i za one koji mogu poduzeti pripremne korake, rizik se značajno povećava javnom objavom informacija koje bi kibernetički kriminalac mogao upotrijebiti za orkestriranje napada i pretpostavlja da su oni koji će poduzeti nešto svjesni problema. Od ranjivosti koje su privatno otkrivene kroz koordinirane prakse otkrivanja i koje svake godine popravljaju svi dobavljači softvera, otkrili smo da se gotovo nijedna ne iskorištava prije nego što se "popravak" pruži korisnicima, a čak i nakon što je "popravak" javno dostupan samo vrlo male količine se ikada iskoriste. Suprotno tome, evidencija javno objavljenih ranjivosti prije nego što popravci budu dostupni za zahvaćene proizvode daleko je lošija, jer kibernetički kriminalci češće orkestriraju napade protiv onih koji se nisu ili ne mogu zaštititi.

Još jedan aspekt rasprave o KVB-u povezan je s vremenskim rasporedom – konkretno količinom vremena koja je prihvatljiva prije nego što istraživač široko priopći postojanje ranjivosti. Ispravljanje buga u web servisu potpuno drugačije od ispravljanja buga u sustavu Windows koji je desetljeće star OS.

Pročitajte više o tome iz Microsoftovog posta na blogu.