Microsoft는 Google이 지연 요청에도 불구하고 Windows 취약점에 대한 세부 정보를 공개했다고 밝혔습니다.

Google Researched는 Windows 8.1에서 패치되지 않은 보안 취약점을 발견하고 Google Security Research 페이지에 버그를 게시했으며 공개 기한은 90일이었습니다. 광범위하게 사용 가능한 패치 없이 90일이 경과하면 버그 보고서가 자동으로 공개됩니다. 이 정책으로 Google은 웹에 취약점 정보를 게시했습니다. 매일 수백만 명이 사용하는 Windows와 같은 제품에 취약점을 게시한 것은 Google의 무책임한 조치였습니다.

오늘 Microsoft는 수정 사항을 릴리스할 때까지 이 프로세스를 2일 동안 지연하도록 Google에 요청했음을 확인했습니다. 그러나 Google은 수백만 명의 사용자를 걱정하지 않고 기꺼이 요청을 거부했습니다.

CVD 철학과 조치는 오늘 잘 알려지고 조정된 화요일 패치 주기에 대한 계획 수정 이틀 전에 한 회사인 Google이 Microsoft 제품의 취약점에 대한 정보를 공개함에 따라 실행되고 있습니다. 특히, 수정 사항이 발표되는 13월 XNUMX일 화요일까지 세부 정보를 보류하여 고객을 보호할 수 있도록 Google에 요청했습니다. Google이 발표한 공개 일정을 철저히 준수하지만 그 결정은 원칙이라기보다는 결과적으로 고객이 고통을 겪을 수 있는 "문제"처럼 느껴집니다. Google에 옳은 것이 고객에게 항상 옳은 것은 아닙니다. Google은 고객 보호를 최우선 목표로 삼을 것을 촉구합니다.

Microsoft는 조정된 공개가 올바른 접근 방식이며 고객에 대한 위험을 최소화한다고 오랫동안 믿어왔습니다. 우리는 수정 프로그램이 널리 사용되기 전에 취약점을 완전히 공개하는 사람들이 수백만 명의 사람들과 그들이 의존하는 시스템에 해를 끼치고 있다고 믿습니다. 다른 회사와 개인은 대다수가 아무런 조치도 취하지 않고 보안 업데이트를 릴리스하기 위해 소프트웨어 제공업체에 크게 의존하기 때문에 고객이 스스로를 방어해야 하기 때문에 완전한 공개가 필요하다고 생각합니다. 준비 단계를 수행할 수 있는 사람의 경우에도 사이버 범죄자가 공격을 조정하는 데 사용할 수 있고 조치를 취하려는 사람이 문제를 인지한다고 가정하는 정보를 공개적으로 발표하면 위험이 크게 증가합니다. 조정된 공개 관행을 통해 비공개로 공개되고 모든 소프트웨어 공급업체가 매년 수정하는 취약점 중에서 "수정"이 고객에게 제공되기 전과 심지어는 "수정"이 공개적으로 제공된 후에도 악용되지 않는 것으로 나타났습니다. 아주 적은 양은 이제까지 악용되었습니다. 반대로, 영향을 받는 제품에 대한 수정 사항이 제공되기 전에 공개적으로 공개된 취약점의 추적 기록은 훨씬 더 나쁩니다.

CVD 논쟁의 또 다른 측면은 타이밍, 특히 연구원이 취약점의 존재를 널리 알리기 전에 허용되는 시간과 관련이 있습니다. 웹 서비스에서 버그를 수정하는 것은 XNUMX년 된 OS인 Windows에서 버그를 수정하는 것과 완전히 다릅니다.

그것에 대해 자세히 알아보기 Microsoft의 블로그 게시물에서.