Microsoft razkriva, da je Google objavil podrobnosti o ranljivosti sistema Windows kljub njihovi zahtevi po odložitvi

Google Researched je odkril nepokrpano varnostno ranljivost v sistemu Windows 8.1 in objavil napako na strani Googlove varnostne raziskave, zanjo pa je veljal 90-dnevni rok za razkritje. Če poteče 90 dni brez široko razpoložljivega popravka, bo poročilo o napaki samodejno vidno javnosti. S tem pravilnikom je Google objavil informacije o ranljivosti na spletu. Objava ranljivosti na izdelku, kot je Windows, ki ga vsak dan uporablja milijone ljudi, je bila neodgovorna poteza Googla.

Danes je Microsoft potrdil, da je od Googla zahteval, da ta postopek odloži za 2 dni, dokler ne izda popravka. Vendar je Google zahtevo z veseljem zavrnil, ne da bi skrbel za milijone uporabnikov.

Filozofija in dejanja CVD se danes izvajajo, saj je eno podjetje – Google – objavilo informacije o ranljivosti v Microsoftovem izdelku, dva dni pred našim načrtovanim popravkom naše dobro znane in usklajene torkove kadence popravkov, kljub naši zahtevi, da se temu izognejo. Natančneje, Google smo prosili, naj sodeluje z nami pri zaščiti strank z zadrževanjem podrobnosti do torka, 13. januarja, ko bomo objavili popravek. Čeprav se upoštevanje Googlovega napovedanega časovnega načrta za razkritje, se zdi, da je odločitev manj kot načela in bolj kot "sprejemanje", s strankami, ki lahko zaradi tega trpijo. Kar je prav za Google, ni vedno prav za stranke. Pozivamo Google, naj zaščita strank postane naš skupni primarni cilj.

Microsoft že dolgo verjame, da je usklajeno razkritje pravi pristop in zmanjšuje tveganje za stranke. Verjamemo, da tisti, ki v celoti razkrijejo ranljivost, preden je popravek splošno dostopen, delajo medvedjo uslugo milijonom ljudi in sistemom, od katerih so odvisni. Druga podjetja in posamezniki menijo, da je popolno razkritje potrebno, ker sili stranke, da se branijo, čeprav velika večina ne ukrepa, saj se pri izdaji varnostne posodobitve v veliki meri zanašajo na ponudnika programske opreme. Tudi za tiste, ki lahko sprejmejo pripravljalne korake, se tveganje znatno poveča z javno objavo informacij, ki bi jih kibernetski kriminalec lahko uporabil za orkestriranje napada, in domneva, da so tisti, ki bi ukrepali, seznanjeni s težavo. Od ranljivosti, ki so jih zasebno razkrili z usklajenimi praksami razkritja in jih vsako leto popravijo vsi prodajalci programske opreme, smo ugotovili, da skoraj nobena ni izkoriščena, preden je bil »popravek« zagotovljen strankam, in tudi potem, ko je »popravek« javno dostopen samo zelo majhne količine se kdaj izkoriščajo. Nasprotno pa je evidenca o ranljivostih, ki so javno razkrite, preden so na voljo popravki za prizadete izdelke, veliko slabša, saj kibernetski kriminalci pogosteje organizirajo napade na tiste, ki se niso ali se ne morejo zaščititi.

Drug vidik razprave o KVB je povezan s časovnim razporedom – zlasti s količino časa, ki je sprejemljiva, preden raziskovalec na splošno sporoči obstoj ranljivosti. Odpravljanje napake v spletni storitvi je popolnoma drugačno od odpravljanja napake v operacijskem sistemu Windows, ki je desetletje star.

Preberite več o tem iz Microsoftove objave v blogu.