Microsoft Mengungkapkan Bahwa Google Merilis Detail Tentang Kerentanan Windows Meskipun Permintaan Mereka Untuk Menundanya

Google Researched menemukan kerentanan keamanan yang belum ditambal di Windows 8.1 dan dia memposting bug di halaman Riset Keamanan Google dan tunduk pada tenggat waktu pengungkapan 90 hari. Jika 90 hari berlalu tanpa patch yang tersedia secara luas, maka laporan bug akan secara otomatis terlihat oleh publik. Dengan kebijakan ini, Google mempublikasikan informasi kerentanan di web. Itu adalah langkah yang tidak bertanggung jawab dari Google untuk mempublikasikan kerentanan pada produk seperti Windows yang digunakan oleh jutaan orang setiap hari.

Hari ini, Microsoft mengonfirmasi bahwa mereka meminta Google untuk menunda proses ini selama 2 hari hingga mereka merilis perbaikannya. Tapi, Google menolak permintaan itu dengan senang hati tanpa mengkhawatirkan jutaan pengguna.

Filosofi dan tindakan CVD dimainkan hari ini karena satu perusahaan – Google – telah merilis informasi tentang kerentanan dalam produk Microsoft, dua hari sebelum perbaikan yang direncanakan pada irama Patch Tuesday kami yang terkenal dan terkoordinasi, meskipun kami meminta mereka untuk tidak melakukannya. Secara khusus, kami meminta Google untuk bekerja sama dengan kami untuk melindungi pelanggan dengan menahan detail hingga Selasa, 13 Januari, saat kami akan merilis perbaikan. Meskipun mengikuti terus timeline yang diumumkan Google untuk pengungkapan, keputusan tersebut terasa kurang seperti prinsip dan lebih seperti "gotcha", dengan pelanggan yang mungkin menderita sebagai akibatnya. Apa yang tepat untuk Google tidak selalu tepat untuk pelanggan. Kami mendesak Google untuk menjadikan perlindungan pelanggan sebagai tujuan utama kami bersama.

Microsoft telah lama percaya bahwa pengungkapan terkoordinasi adalah pendekatan yang tepat dan meminimalkan risiko bagi pelanggan. Kami percaya mereka yang mengungkapkan kerentanan sepenuhnya sebelum perbaikan tersedia secara luas, merugikan jutaan orang dan sistem yang mereka andalkan. Perusahaan dan individu lain percaya bahwa pengungkapan penuh diperlukan karena memaksa pelanggan untuk membela diri, meskipun sebagian besar tidak mengambil tindakan, karena sebagian besar bergantung pada penyedia perangkat lunak untuk merilis pembaruan keamanan. Bahkan bagi mereka yang dapat mengambil langkah-langkah persiapan, risiko meningkat secara signifikan dengan mengumumkan kepada publik informasi yang dapat digunakan oleh penjahat dunia maya untuk mengatur serangan dan mengasumsikan bahwa mereka yang akan mengambil tindakan telah mengetahui masalah tersebut. Dari kerentanan yang diungkapkan secara pribadi melalui praktik pengungkapan terkoordinasi dan diperbaiki setiap tahun oleh semua vendor perangkat lunak, kami telah menemukan bahwa hampir tidak ada yang dieksploitasi sebelum "perbaikan" diberikan kepada pelanggan, dan bahkan setelah "perbaikan" tersedia untuk umum hanya jumlah yang sangat kecil yang pernah dieksploitasi. Sebaliknya, rekam jejak kerentanan yang diungkapkan kepada publik sebelum perbaikan tersedia untuk produk yang terpengaruh jauh lebih buruk, dengan penjahat dunia maya lebih sering mengatur serangan terhadap mereka yang tidak atau tidak dapat melindungi diri mereka sendiri.

Aspek lain dari perdebatan CVD terkait dengan waktu – khususnya jumlah waktu yang dapat diterima sebelum peneliti secara luas mengomunikasikan keberadaan kerentanan. Memperbaiki bug di layanan web sama sekali berbeda dari memperbaiki bug di Windows yang merupakan OS berusia satu dekade.

Baca lebih lanjut tentang hal itu dari posting blog Microsoft.