Microsoft odhaľuje, že Google zverejnil podrobnosti o zraniteľnosti systému Windows napriek ich žiadosti o odloženie

Výskumník Google našiel neopravenú bezpečnostnú chybu v systéme Windows 8.1 a chybu zverejnil na stránke Výskum bezpečnosti Google a na jej zverejnenie sa vzťahovala lehota 90 dní. Ak uplynie 90 dní bez všeobecne dostupnej opravy, správa o chybe sa automaticky stane viditeľnou pre verejnosť. Na základe týchto pravidiel spoločnosť Google zverejnila informácie o zraniteľnosti na webe. Bol to nezodpovedný krok od spoločnosti Google zverejniť zraniteľnosť produktu, akým je Windows, ktorý každý deň používajú milióny ľudí.

Spoločnosť Microsoft dnes potvrdila, že požiadala spoločnosť Google, aby odložila tento proces o 2 dni, kým neuvoľní svoju opravu. Google však žiadosť šťastne odmietol bez obáv o milióny používateľov.

Filozofia a akcia CVD sa dnes odohrávajú, pretože jedna spoločnosť – Google – zverejnila informácie o zraniteľnosti produktu spoločnosti Microsoft dva dni pred plánovanou opravou našej známej a koordinovanej kadencie Patch Tuesday, a to aj napriek našej žiadosti, aby sa tomu vyhli. Konkrétne sme požiadali Google, aby s nami spolupracoval na ochrane zákazníkov zadržiavaním podrobností do utorka 13. januára, kedy zverejníme opravu. Aj keď sa pri dodržaní ohláseného časového harmonogramu zverejnenia spoločnosti Google, toto rozhodnutie javí menej ako princípy a skôr ako „problém“, pričom zákazníci môžu v dôsledku toho trpieť. Čo je správne pre Google, nie je vždy vhodné aj pre zákazníkov. Vyzývame spoločnosť Google, aby sa ochrana zákazníkov stala naším spoločným primárnym cieľom.

Spoločnosť Microsoft je dlho presvedčená, že koordinované zverejňovanie informácií je správny prístup a minimalizuje riziko pre zákazníkov. Veríme, že tí, ktorí úplne odhalia zraniteľnosť skôr, ako bude oprava všeobecne dostupná, robia medvediu službu miliónom ľudí a systémom, na ktorých sú závislí. Iné spoločnosti a jednotlivci sa domnievajú, že úplné zverejnenie je nevyhnutné, pretože núti zákazníkov brániť sa, aj keď drvivá väčšina nepodnikne žiadne kroky, keďže sa pri vydaní bezpečnostnej aktualizácie do značnej miery spoliehajú na poskytovateľa softvéru. Aj pre tých, ktorí sú schopní urobiť prípravné kroky, sa riziko výrazne zvyšuje verejným oznámením informácií, ktoré by kyberzločinec mohol použiť na zosnovanie útoku, a predpokladá sa, že tí, ktorí budú konať, sú o probléme informovaní. Zistili sme, že zo zraniteľností, ktoré sú súkromne odhalené prostredníctvom koordinovaných postupov zverejňovania a ktoré každý rok opravujú všetci dodávatelia softvéru, sa takmer žiadna nezneužije predtým, ako bola zákazníkom poskytnutá „oprava“, a dokonca aj po zverejnení „opravy“ veľmi malé množstvo. Naopak, záznamy o zraniteľnostiach zverejnených pred sprístupnením opráv pre postihnuté produkty sú oveľa horšie, pričom kyberzločinci častejšie organizujú útoky proti tým, ktorí sa nechránili alebo sa nemôžu chrániť.

Ďalší aspekt diskusie o CVD súvisí s načasovaním – konkrétne s množstvom času, ktorý je prijateľný, kým výskumník vo všeobecnosti oznámi existenciu zraniteľnosti. Oprava chyby vo webovej službe je úplne odlišná od opravy chyby v systéme Windows, ktorý je desať rokov starým operačným systémom.

Prečítajte si viac o tom z blogového príspevku spoločnosti Microsoft.