Microsoft сообщает, что Google опубликовал подробности об уязвимости Windows, несмотря на их просьбу отложить ее

Исследователь Google обнаружил неисправленную уязвимость в системе безопасности в Windows 8.1 и разместил сообщение об ошибке на странице Google Security Research, где срок ее раскрытия составлял 90 дней. Если в течение 90 дней не будет выпущено широко доступное исправление, отчет об ошибке автоматически станет общедоступным. В соответствии с этой политикой Google публикует информацию об уязвимостях в Интернете. Со стороны Google было безответственным шагом опубликовать уязвимость в таком продукте, как Windows, которым ежедневно пользуются миллионы людей.

Сегодня Microsoft подтвердила, что попросила Google отложить этот процесс на 2 дня, пока они не выпустят исправление. Но Google с радостью отклонил запрос, не беспокоясь о миллионах пользователей.

Философия и действия CVD разыгрываются сегодня, когда одна компания — Google — опубликовала информацию об уязвимости в продукте Microsoft, за два дня до запланированного нами исправления в нашем хорошо известном и скоординированном порядке обновления во вторник, несмотря на нашу просьбу не делать этого. В частности, мы попросили Google сотрудничать с нами, чтобы защитить клиентов, скрывая подробности до вторника, 13 января, когда мы выпустим исправление. Несмотря на то, что соблюдение объявленных Google сроков раскрытия информации соблюдается, это решение кажется не столько принципиальным, сколько «подводным камнем», поскольку в результате могут пострадать клиенты. То, что правильно для Google, не всегда подходит для клиентов. Мы призываем Google сделать защиту клиентов нашей коллективной основной целью.

Microsoft давно считает, что скоординированное раскрытие информации является правильным подходом и минимизирует риски для клиентов. Мы считаем, что те, кто полностью раскрывает уязвимость до того, как ее исправление станет общедоступным, оказывают медвежью услугу миллионам людей и системам, от которых они зависят. Другие компании и частные лица считают, что полное раскрытие информации необходимо, потому что это заставляет клиентов защищать себя, даже если подавляющее большинство не предпринимает никаких действий, поскольку в значительной степени зависит от поставщика программного обеспечения для выпуска обновления безопасности. Даже для тех, кто может предпринять подготовительные шаги, риск значительно возрастает при публичном обнародовании информации, которую киберпреступник может использовать для организации атаки, и при условии, что те, кто примет меры, осведомлены о проблеме. Мы обнаружили, что почти ни одна из уязвимостей, раскрываемых частным образом в рамках скоординированных методов раскрытия информации и ежегодно исправляемых всеми поставщиками программного обеспечения, не эксплуатируется до того, как «исправление» будет предоставлено клиентам, и даже после того, как «исправление» становится общедоступным, только очень небольшое количество когда-либо эксплуатируется. И наоборот, список уязвимостей, о которых стало известно до того, как были доступны исправления для уязвимых продуктов, гораздо хуже: киберпреступники чаще организуют атаки против тех, кто не имеет или не может защитить себя.

Другой аспект дебатов о ССЗ связан со сроками — в частности, с количеством времени, которое является приемлемым, прежде чем исследователь широко сообщит о существовании уязвимости. Исправление ошибки в веб-сервисе полностью отличается от исправления ошибки в Windows, которая представляет собой ОС десятилетней давности.

Подробнее об этом из сообщения в блоге Microsoft.