Microsoft rivela che Google ha rilasciato dettagli sulla vulnerabilità di Windows nonostante la loro richiesta di ritardarla

Un ricercato di Google ha rilevato una vulnerabilità di sicurezza senza patch in Windows 8.1 e ha pubblicato il bug sulla pagina di Google Security Research ed è stato soggetto a una scadenza per la divulgazione di 90 giorni. Se trascorrono 90 giorni senza una patch ampiamente disponibile, la segnalazione del bug diventerà automaticamente visibile al pubblico. Con questa politica, Google ha pubblicato le informazioni sulla vulnerabilità sul web. È stata una mossa irresponsabile di Google pubblicare una vulnerabilità su un prodotto come Windows che viene utilizzato da milioni di persone ogni giorno.

Oggi Microsoft ha confermato di aver richiesto a Google di ritardare questo processo di 2 giorni fino al rilascio della correzione. Ma Google ha rifiutato felicemente la richiesta senza preoccuparsi di milioni di utenti.

La filosofia e l'azione di CVD si stanno concretizzando oggi quando un'azienda, Google, ha rilasciato informazioni su una vulnerabilità in un prodotto Microsoft, due giorni prima della nostra correzione pianificata sulla nostra cadenza ben nota e coordinata del Patch Tuesday, nonostante la nostra richiesta di evitare di farlo. In particolare, abbiamo chiesto a Google di collaborare con noi per proteggere i clienti trattenendo i dettagli fino a martedì 13 gennaio, quando rilasceremo una correzione. Sebbene attenendosi alla tempistica annunciata di Google per la divulgazione, la decisione sembra meno un principio e più un "gotcha", con i clienti che potrebbero soffrirne di conseguenza. Ciò che è giusto per Google non è sempre giusto per i clienti. Invitiamo Google a fare della protezione dei clienti il ​​nostro obiettivo principale collettivo.

Microsoft crede da tempo che la divulgazione coordinata sia l'approccio giusto e riduca al minimo i rischi per i clienti. Riteniamo che coloro che rivelano completamente una vulnerabilità prima che una correzione sia ampiamente disponibile stiano rendendo un disservizio a milioni di persone e ai sistemi da cui dipendono. Altre società e individui ritengono che la divulgazione completa sia necessaria perché costringe i clienti a difendersi, anche se la stragrande maggioranza non intraprende alcuna azione, essendo in gran parte dipendente da un fornitore di software per il rilascio di un aggiornamento di sicurezza. Anche per coloro che sono in grado di intraprendere le fasi preparatorie, il rischio è notevolmente aumentato dall'annuncio pubblico di informazioni che un criminale informatico potrebbe utilizzare per orchestrare un attacco e presuppone che coloro che dovrebbero agire siano consapevoli del problema. Delle vulnerabilità divulgate privatamente attraverso pratiche di divulgazione coordinate e risolte ogni anno da tutti i fornitori di software, abbiamo scoperto che quasi nessuna viene sfruttata prima che una "correzione" sia stata fornita ai clienti e anche dopo che una "correzione" è stata resa pubblicamente disponibile solo una quantità molto piccole vengono mai sfruttate. Al contrario, il track record delle vulnerabilità divulgate pubblicamente prima che le correzioni siano disponibili per i prodotti interessati è di gran lunga peggiore, con i criminali informatici che orchestrano più frequentemente attacchi contro coloro che non hanno o non possono proteggersi.

Un altro aspetto del dibattito sulle CVD è legato alla tempistica, in particolare alla quantità di tempo accettabile prima che un ricercatore comunichi ampiamente l'esistenza di una vulnerabilità. Risolvere un bug nel servizio Web completamente diverso dalla correzione di un bug in Windows che è un sistema operativo vecchio di dieci anni.

Per saperne di più su di esso dal post sul blog di Microsoft.