A Microsoft felfedte, hogy a Google részleteket adott ki a Windows sebezhetőségéről, annak ellenére, hogy kérték a késleltetést

A Google Researched egy kijavítatlan biztonsági rést talált a Windows 8.1-ben, és közzétette a hibát a Google Security Research oldalán, és 90 napos közzétételi határidőt írt elő. Ha 90 nap eltelik széles körben elérhető javítás nélkül, a hibajelentés automatikusan láthatóvá válik a nyilvánosság számára. Ezzel az irányelvvel a Google közzétette a sebezhetőségi információkat az interneten. Felelőtlen lépés volt a Google részéről, hogy egy sebezhetőséget tett közzé egy olyan terméken, mint a Windows, amelyet emberek milliói használnak nap mint nap.

A Microsoft ma megerősítette, hogy arra kérték a Google-t, hogy halasszák el ezt a folyamatot 2 nappal a javítás kiadásáig. A Google azonban boldogan elutasította a kérést anélkül, hogy több millió felhasználó miatt aggódott volna.

A CVD filozófiája és cselekvése ma játszódik le, mivel az egyik vállalat – a Google – közzétett egy Microsoft-termék sebezhetőségéről szóló információkat, két nappal a jól ismert és összehangolt javítási keddi ütemünk tervezett javítása előtt, annak ellenére, hogy kértük, hogy ezt kerüljék. Konkrétan arra kértük a Google-t, hogy működjön együtt velünk az ügyfelek védelmében, és tartsa vissza a részleteket január 13-ig, keddig, amikor is kiadjuk a javítást. Bár a követés betartja a Google bejelentett közzétételi ütemtervét, a döntés kevésbé tűnik elveknek, és inkább „kapásnak” tűnik, mivel az ügyfelek szenvedhetnek emiatt. Ami jó a Google-nak, nem mindig az ügyfeleknek. Arra kérjük a Google-t, hogy az ügyfelek védelmét tegye közös elsődleges célunkká.

A Microsoft régóta úgy gondolja, hogy az összehangolt közzététel a helyes megközelítés, és minimálisra csökkenti az ügyfelek kockázatát. Úgy gondoljuk, hogy azok, akik teljes mértékben felfedik a sebezhetőséget, mielőtt a javítás széles körben elérhető lenne, emberek millióinak és rendszereknek tesznek rosszat, amelyektől függenek. Más cégek és magánszemélyek úgy vélik, hogy a teljes körű nyilvánosságra hozatalra azért van szükség, mert ez arra kényszeríti az ügyfeleket, hogy védekezzenek, még akkor is, ha a túlnyomó többség nem tesz semmit, mivel nagyrészt egy szoftverszolgáltatótól függ a biztonsági frissítés kiadása. Még azok számára is jelentősen növeli a kockázatot, akik megtehetik az előkészítő lépéseket, ha nyilvánosan bejelentik azokat az információkat, amelyeket egy kiberbűnözők felhasználhatnak egy támadás megszervezésére, és feltételezik, hogy azok, akik intézkednének, tudomást szereznek a témáról. Azok a sebezhetőségek, amelyeket az összehangolt közzétételi gyakorlatok révén privát módon hoztak nyilvánosságra, és amelyeket minden szoftvergyártó évente kijavít, azt találtuk, hogy szinte egyiket sem használják ki, mielőtt a „javítást” az ügyfelek rendelkezésére bocsátották volna, és még azután is, hogy a „javítást” nyilvánosságra hozták, csak egy nagyon kis mennyiséget használnak ki. Ezzel szemben az érintett termékek javítása előtt nyilvánosságra hozott sebezhetőségek száma sokkal rosszabb, mivel a kiberbűnözők gyakrabban szerveznek támadásokat azok ellen, akik nem tudják vagy nem tudják megvédeni magukat.

A CVD-vita másik aspektusa az időzítéshez kapcsolódik – konkrétan az az időtartam, amely elfogadható, mielőtt a kutató nagy vonalakban közli a sebezhetőség meglétét. A webszolgáltatás hibáinak kijavítása teljesen más, mint egy évtizedes Windows operációs rendszer hibájának javítása.

További részletek a Microsoft blogbejegyzéséből.