מיקרוסופט חושפת שגוגל פרסמה פרטים על פגיעות Windows למרות בקשתם לעכב זאת

Google Researched מצא פגיעות אבטחה שטרם תוקנה ב-Windows 8.1 והוא פרסם את הבאג בדף 'מחקר אבטחה של Google' והוא היה כפוף למועד אחרון לגילוי של 90 יום. אם יחלפו 90 יום ללא תיקון זמין באופן נרחב, דוח הבאג יהפוך אוטומטית לגלוי לציבור. עם מדיניות זו, Google פרסמה את מידע הפגיעות באינטרנט. זה היה מהלך חסר אחריות מגוגל לפרסם פגיעות במוצר כמו Windows שנמצא בשימוש על ידי מיליוני אנשים מדי יום.

היום, מיקרוסופט אישרה שהיא ביקשה מגוגל לעכב את התהליך הזה במשך יומיים עד שתשחרר את התיקון. אבל, גוגל דחתה את הבקשה בשמחה מבלי לדאוג לגבי מיליוני משתמשים.

הפילוסופיה והפעולה של CVD מתגלים היום כשחברה אחת - גוגל - פרסמה מידע על פגיעות במוצר של מיקרוסופט, יומיים לפני התיקון המתוכנן שלנו בקצב ה-Patch Tuesday הידוע והמתואם שלנו, למרות בקשתנו להימנע מכך. באופן ספציפי, ביקשנו מגוגל לעבוד איתנו כדי להגן על לקוחות על ידי מניעת פרטים עד יום שלישי, 13 בינואר, שבו נפרסם תיקון. למרות שהקפדה על ביצוע שמירה על ציר הזמן שהוכרז של גוגל לחשיפה, ההחלטה מרגישה פחות כמו עקרונות ויותר כמו "גוטצ'ה", עם הלקוחות שעשויים לסבול כתוצאה מכך. מה שנכון לגוגל לא תמיד מתאים ללקוחות. אנו קוראים ל-Google להפוך את ההגנה על הלקוחות למטרה העיקרית הקולקטיבית שלנו.

מיקרוסופט מאמינה זה מכבר שחשיפה מתואמת היא הגישה הנכונה וממזערת את הסיכון ללקוחות. אנו מאמינים שמי שחושף פגיעות באופן מלא לפני שהתיקון זמין באופן נרחב, עושה שירות רע למיליוני אנשים ולמערכות שבהן הם תלויים. חברות ואנשים פרטיים אחרים מאמינים שחשיפה מלאה נחוצה מכיוון שהיא מאלצת את הלקוחות להגן על עצמם, למרות שרובם המכריע לא נוקטים בפעולה, בהיותם תלויים במידה רבה בספק תוכנה שישחרר עדכון אבטחה. אפילו עבור אלה שמסוגלים לנקוט בצעדי הכנה, הסיכון מוגבר באופן משמעותי על ידי פרסום פומבי של מידע שפושע סייבר יכול להשתמש בו כדי לתזמר מתקפה, ומניח שאלו שיבצעו פעולה מודעים לנושא. מבין הפגיעויות שנחשפו באופן פרטי באמצעות נוהלי גילוי מתואמים ומתוקנים מדי שנה על ידי כל ספקי התוכנה, מצאנו שכמעט אף אחת לא מנוצלת לפני ש"תיקון" סופק ללקוחות, ואפילו לאחר ש"תיקון" זמין לציבור רק כמות קטנה מאוד מנוצלת אי פעם. לעומת זאת, הרקורד של נקודות תורפה שנחשפו בפומבי לפני שתיקונים זמינים למוצרים המושפעים גרוע בהרבה, כאשר פושעי סייבר מתזמרים לעתים קרובות יותר התקפות נגד מי שלא הגן על עצמם או לא יכול להגן על עצמם.

היבט נוסף של הדיון ב-CVD קשור לתזמון - במיוחד משך הזמן המקובל לפני שחוקר מודיע באופן רחב על קיומה של פגיעות. תיקון באג בשירות אינטרנט שונה לחלוטין מתיקון באג ב-Windows שהיא מערכת הפעלה בת עשור.

קראו עוד על זה מתוך הפוסט בבלוג של מיקרוסופט.