Microsoft onthult dat Google details heeft vrijgegeven over de kwetsbaarheid van Windows, ondanks hun verzoek om het uit te stellen

Een Google Researched vond een niet-gepatchte beveiligingskwetsbaarheid in Windows 8.1 en hij plaatste de bug op de Google Security Research-pagina en er gold een deadline van 90 dagen voor openbaarmaking. Als 90 dagen verstrijken zonder een algemeen beschikbare patch, wordt het bugrapport automatisch zichtbaar voor het publiek. Met dit beleid heeft Google de kwetsbaarheidsinformatie op internet gepubliceerd. Het was een onverantwoorde stap van Google om een ​​kwetsbaarheid te publiceren in een product als Windows dat dagelijks door miljoenen mensen wordt gebruikt.

Microsoft heeft vandaag bevestigd dat ze Google hebben verzocht dit proces met 2 dagen uit te stellen totdat ze hun fix vrijgeven. Maar Google wees het verzoek gelukkig af zonder zich zorgen te maken over miljoenen gebruikers.

CVD-filosofie en -actie spelen zich vandaag af terwijl één bedrijf - Google - informatie heeft vrijgegeven over een kwetsbaarheid in een Microsoft-product, twee dagen voor onze geplande oplossing voor onze bekende en gecoördineerde Patch Tuesday-cadans, ondanks ons verzoek om dit te vermijden. We hebben Google met name gevraagd om met ons samen te werken om klanten te beschermen door details achter te houden tot dinsdag 13 januari, wanneer we een oplossing zullen vrijgeven. Hoewel het volgen van Google's aangekondigde tijdlijn voor openbaarmaking zich houdt aan, voelt de beslissing minder als principes en meer als een "hebt", met klanten die als gevolg hiervan kunnen lijden. Wat goed is voor Google, is niet altijd goed voor klanten. We dringen er bij Google op aan om de bescherming van klanten tot ons gezamenlijke primaire doel te maken.

Microsoft heeft lang geloofd dat gecoördineerde openbaarmaking de juiste aanpak is en het risico voor klanten minimaliseert. We zijn van mening dat degenen die een kwetsbaarheid volledig onthullen voordat een oplossing algemeen beschikbaar is, miljoenen mensen en de systemen waarvan ze afhankelijk zijn een slechte dienst bewijzen. Andere bedrijven en individuen zijn van mening dat volledige openbaarmaking noodzakelijk is omdat het klanten dwingt zichzelf te verdedigen, ook al onderneemt de overgrote meerderheid geen actie, omdat ze grotendeels afhankelijk zijn van een softwareleverancier om een ​​beveiligingsupdate uit te brengen. Zelfs voor degenen die in staat zijn om voorbereidende stappen te nemen, wordt het risico aanzienlijk verhoogd door het publiekelijk bekendmaken van informatie die een cybercrimineel zou kunnen gebruiken om een ​​aanval te organiseren en ervan uit te gaan dat degenen die actie zouden ondernemen, op de hoogte worden gesteld van het probleem. Van de kwetsbaarheden die door middel van gecoördineerde openbaarmakingspraktijken openbaar zijn gemaakt en die elk jaar door alle softwareleveranciers worden verholpen, hebben we geconstateerd dat bijna geen enkele wordt misbruikt voordat een "fix" aan klanten is verstrekt, en zelfs nadat een "fix" slechts een zeer kleine hoeveelheden ooit worden uitgebuit. Omgekeerd is het trackrecord van kwetsbaarheden die openbaar zijn gemaakt voordat fixes beschikbaar zijn voor getroffen producten veel slechter, waarbij cybercriminelen vaker aanvallen uitvoeren tegen degenen die zichzelf niet hebben of kunnen beschermen.

Een ander aspect van het CVD-debat heeft te maken met timing – met name de hoeveelheid tijd die acceptabel is voordat een onderzoeker het bestaan ​​van een kwetsbaarheid breed uitdraagt. Een bug in een webservice oplossen die totaal anders is dan het oplossen van een bug in Windows, een besturingssysteem van tien jaar oud.

Lees er meer over uit de blogpost van Microsoft.