Microsoft avslører at Google ga ut detaljer om Windows-sårbarhet til tross for deres forespørsel om å utsette det

En Google Researched fant en uopprettet sikkerhetssårbarhet i Windows 8.1, og han la ut feilen på Google Security Research-siden, og den var underlagt en 90 dagers offentliggjøringsfrist. Hvis det går 90 dager uten en allment tilgjengelig oppdatering, vil feilrapporten automatisk bli synlig for publikum. Med denne policyen publiserte Google sårbarhetsinformasjonen på nettet. Det var et uansvarlig trekk fra Google å publisere en sårbarhet på et produkt som Windows, som brukes av millioner av mennesker hver dag.

I dag bekreftet Microsoft at de ba Google om å utsette denne prosessen i 2 dager til de slipper løsningen. Men Google avslo forespørselen lykkelig uten å bekymre seg for millioner av brukere.

CVD-filosofi og handling spiller ut i dag ettersom ett selskap – Google – har gitt ut informasjon om en sårbarhet i et Microsoft-produkt, to dager før vår planlagte reparasjon på vår velkjente og koordinerte Patch Tuesday-kadens, til tross for vår forespørsel om at de unngår å gjøre det. Spesifikt ba vi Google om å samarbeide med oss ​​for å beskytte kundene ved å holde tilbake detaljer frem til tirsdag 13. januar, da vi vil gi ut en løsning. Selv om det å følge gjennom holder seg til Googles annonserte tidslinje for avsløring, føles beslutningen mindre som prinsipper og mer som en "gotcha", med kundene som kan lide som et resultat. Det som er riktig for Google, er ikke alltid riktig for kundene. Vi oppfordrer Google til å gjøre beskyttelse av kunder til vårt felles primære mål.

Microsoft har lenge ment at koordinert offentliggjøring er den riktige tilnærmingen og minimerer risikoen for kundene. Vi tror de som fullstendig avslører en sårbarhet før en løsning er allment tilgjengelig, gjør en bjørnetjeneste mot millioner av mennesker og systemene de er avhengige av. Andre selskaper og enkeltpersoner mener at full avsløring er nødvendig fordi det tvinger kundene til å forsvare seg selv, selv om de aller fleste ikke gjør noe, og er i stor grad avhengig av en programvareleverandør for å gi ut en sikkerhetsoppdatering. Selv for de som er i stand til å ta forberedende skritt, økes risikoen betydelig ved å offentlig kunngjøre informasjon som en nettkriminell kan bruke til å orkestrere et angrep, og antar at de som vil iverksette tiltak blir gjort oppmerksomme på problemet. Av sårbarhetene som offentliggjøres privat gjennom koordinert avsløringspraksis og fikses hvert år av alle programvareleverandører, har vi funnet ut at nesten ingen blir utnyttet før en "fix" er gitt til kunder, og selv etter at en "fix" er gjort offentlig tilgjengelig bare en svært små mengder er noen gang utnyttet. Omvendt er historikken for sårbarheter som er offentliggjort før rettelser er tilgjengelige for berørte produkter langt verre, med nettkriminelle som oftere orkestrerer angrep mot de som ikke har eller ikke kan beskytte seg selv.

Et annet aspekt av CVD-debatten er knyttet til timing - spesielt hvor lang tid som er akseptabel før en forsker bredt kommuniserer eksistensen av en sårbarhet. Å fikse en feil i webtjenesten er helt annerledes enn å fikse en feil i Windows som er et tiår gammelt operativsystem.

Les mer om det fra Microsofts blogginnlegg.