Microsoft ujawnia, że Google opublikował szczegóły dotyczące luki w systemie Windows pomimo ich prośby o opóźnienie tego
3 minuta. czytać
Opublikowany
Udostępnij ten artykuł
Ulepsz ten przewodnik
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Badacz Google znalazł niezałataną lukę w zabezpieczeniach systemu Windows 8.1 i opublikował błąd na stronie Google Security Research, która podlegała 90-dniowemu terminowi ujawnienia. Jeśli upłynie 90 dni bez powszechnie dostępnej łatki, raport o błędzie zostanie automatycznie udostępniony publicznie. Zgodnie z tą polityką firma Google opublikowała w sieci informacje o luce w zabezpieczeniach. Publikowanie luki w produkcie, takim jak Windows, z którego codziennie korzystają miliony ludzi, było nieodpowiedzialnym posunięciem Google.
Dzisiaj Microsoft potwierdził, że poprosił Google o opóźnienie tego procesu o 2 dni, dopóki nie wyda poprawki. Ale Google szczęśliwie odrzucił prośbę, nie martwiąc się o miliony użytkowników.
Filozofia i działania CVD rozgrywają się dzisiaj, gdy jedna firma – Google – opublikowała informację o luce w produkcie Microsoft, dwa dni przed planowaną poprawką w naszym dobrze znanym i skoordynowanym cyklu wtorkowych poprawek, pomimo naszej prośby, aby tego uniknąć. W szczególności poprosiliśmy Google, aby współpracowała z nami w celu ochrony klientów poprzez ukrywanie szczegółów do wtorku 13 stycznia, kiedy to wydamy poprawkę. Chociaż przestrzegamy ogłoszonego przez Google harmonogramu ujawnienia, decyzja ta nie wydaje się być zasadą, a bardziej „gotcha”, a klienci mogą w wyniku tego ucierpieć. To, co jest dobre dla Google, nie zawsze jest dobre dla klientów. Wzywamy Google, aby ochrona klientów była naszym wspólnym głównym celem.
Firma Microsoft od dawna uważa, że skoordynowane ujawnianie informacji jest właściwym podejściem i minimalizuje ryzyko dla klientów. Wierzymy, że ci, którzy w pełni ujawnią lukę, zanim poprawka stanie się powszechnie dostępna, wyrządzają krzywdę milionom ludzi i systemom, od których zależą. Inne firmy i osoby prywatne uważają, że pełne ujawnienie jest konieczne, ponieważ zmusza klientów do samoobrony, mimo że zdecydowana większość nie podejmuje żadnych działań, będąc w dużej mierze uzależnionymi od dostawcy oprogramowania, który wyda aktualizację zabezpieczeń. Nawet w przypadku osób, które są w stanie podjąć kroki przygotowawcze, ryzyko znacznie wzrasta, gdy publicznie ogłasza się informacje, które cyberprzestępca mógłby wykorzystać do zorganizowania ataku, i zakłada, że osoby, które podejmą działania, są świadome problemu. Spośród luk w zabezpieczeniach ujawnionych prywatnie w ramach skoordynowanych praktyk ujawniania i naprawianych co roku przez wszystkich dostawców oprogramowania, prawie żadna nie jest wykorzystywana przed dostarczeniem „poprawki” klientom, a nawet po publicznym udostępnieniu „poprawki” bardzo małe ilości są kiedykolwiek eksploatowane. Z drugiej strony, historia ujawnionych publicznie luk w zabezpieczeniach przed udostępnieniem poprawek do produktów, których dotyczy, jest znacznie gorsza, a cyberprzestępcy częściej organizują ataki na osoby, które nie mają lub nie mogą się chronić.
Inny aspekt debaty na temat CVD dotyczy czasu – w szczególności dopuszczalnego czasu, zanim badacz szeroko zakomunikuje o istnieniu podatności. Naprawianie błędu w usłudze sieciowej jest zupełnie inne niż naprawianie błędu w systemie Windows, który ma dziesięć lat.
Przeczytaj więcej na ten temat z wpisu na blogu Microsoftu.
