Microsoft dezvăluie că Google a lansat detalii despre vulnerabilitatea Windows, în ciuda cererii lor de a o amâna

Un cercetător Google a găsit o vulnerabilitate de securitate necorectă în Windows 8.1 și a postat eroarea pe pagina Google Security Research și a fost supus unui termen limită de divulgare de 90 de zile. Dacă trec 90 de zile fără un patch disponibil pe scară largă, atunci raportul de eroare va deveni automat vizibil publicului. Cu această politică, Google a publicat informațiile despre vulnerabilități pe web. A fost o mișcare iresponsabilă din partea Google de a publica o vulnerabilitate pe un produs precum Windows, care este folosit de milioane de oameni în fiecare zi.

Astăzi, Microsoft a confirmat că i-a cerut Google să amâne acest proces cu 2 zile până când își lansează soluția. Dar, Google a refuzat cererea cu bucurie, fără să-și facă griji pentru milioane de utilizatori.

Filosofia și acțiunea CVD se desfășoară astăzi, deoarece o singură companie – Google – a lansat informații despre o vulnerabilitate dintr-un produs Microsoft, cu două zile înainte de soluția noastră planificată pentru cadența noastră binecunoscută și coordonată de Patch Tuesday, în ciuda solicitării noastre de a evita acest lucru. Mai exact, i-am cerut Google să colaboreze cu noi pentru a proteja clienții reținând detalii până marți, 13 ianuarie, când vom lansa o remediere. Deși respectarea termenului anunțat de Google pentru dezvăluire, decizia se simte mai puțin ca niște principii și mai mult ca o „gotcha”, clienții fiind cei care ar putea avea de suferit ca urmare. Ceea ce este potrivit pentru Google nu este întotdeauna potrivit pentru clienți. Îndemnăm Google să facă din protecția clienților scopul nostru principal colectiv.

Microsoft a crezut de mult timp că dezvăluirea coordonată este abordarea corectă și minimizează riscul pentru clienți. Credem că cei care dezvăluie complet o vulnerabilitate înainte ca o remediere să fie disponibilă pe scară largă fac un deserviciu milioanelor de oameni și sistemelor de care depind. Alte companii și persoane consideră că dezvăluirea completă este necesară deoarece îi obligă pe clienți să se apere, chiar dacă marea majoritate nu ia nicio măsură, fiind în mare parte dependenți de un furnizor de software pentru a lansa o actualizare de securitate. Chiar și pentru cei capabili să ia măsuri pregătitoare, riscul este crescut semnificativ prin anunțarea publică a informațiilor pe care un criminal cibernetic le-ar putea folosi pentru a orchestra un atac și presupune că cei care ar lua măsuri sunt informați cu privire la problemă. Dintre vulnerabilitățile dezvăluite în mod privat prin practicile coordonate de dezvăluire și remediate în fiecare an de către toți furnizorii de software, am constatat că aproape niciuna nu este exploatată înainte ca o „remediere” să fie furnizată clienților și chiar și după ce o „remediere” este pusă la dispoziția publicului doar un cantități foarte mici sunt vreodată exploatate. În schimb, istoricul vulnerabilităților dezvăluite public înainte ca remedierea să fie disponibile pentru produsele afectate este mult mai rău, infractorii cibernetici orchestrând mai frecvent atacuri împotriva celor care nu s-au protejat sau nu se pot proteja.

Un alt aspect al dezbaterii CVD este legat de sincronizare – în special perioada de timp care este acceptabilă înainte ca un cercetător să comunice pe scară largă existența unei vulnerabilități. Remedierea unei erori în serviciul web complet diferită de remedierea unei erori în Windows, care are un sistem de operare vechi de un deceniu.

Citeşte mai multe despre ea de pe blogul Microsoft.