Microsoft avslöjar att Google släppte detaljer om Windows-sårbarhet trots deras begäran om att fördröja det

En Google Researched hittade en oparpad säkerhetssårbarhet i Windows 8.1 och han publicerade felet på sidan för Google Security Research och det var föremål för en 90-dagars deadline för avslöjande. Om det går 90 dagar utan en allmänt tillgänglig patch, blir felrapporten automatiskt synlig för allmänheten. Med denna policy publicerade Google sårbarhetsinformationen på webben. Det var ett oansvarigt drag från Google att publicera en sårbarhet på en produkt som Windows som används av miljontals människor varje dag.

Idag bekräftade Microsoft att de bad Google att fördröja denna process i två dagar tills de släpper sin korrigering. Men Google avböjde begäran glatt utan att oroa sig för miljontals användare.

CVD-filosofi och handling utspelar sig idag när ett företag – Google – har släppt information om en sårbarhet i en Microsoft-produkt, två dagar innan vår planerade fix på vår välkända och koordinerade Patch Tuesday-kadens, trots vår begäran att de skulle undvika att göra det. Specifikt bad vi Google att samarbeta med oss ​​för att skydda kunder genom att undanhålla detaljer till tisdag den 13 januari, då vi kommer att släppa en korrigering. Även om efterföljandet håller sig till Googles tillkännagivna tidslinje för avslöjande, känns beslutet mindre som principer och mer som en "gotcha", med kunderna som kan drabbas av det. Det som är rätt för Google är inte alltid rätt för kunderna. Vi uppmanar Google att göra skydd av kunder till vårt gemensamma primära mål.

Microsoft har länge ansett att samordnade avslöjande är rätt tillvägagångssätt och minimerar riskerna för kunderna. Vi tror att de som till fullo avslöjar en sårbarhet innan en korrigering är allmänt tillgänglig gör en otjänst mot miljontals människor och de system de är beroende av. Andra företag och individer anser att fullständigt avslöjande är nödvändigt eftersom det tvingar kunder att försvara sig, även om de allra flesta inte vidtar några åtgärder, eftersom de till stor del är beroende av att en mjukvaruleverantör släpper en säkerhetsuppdatering. Även för de som kan vidta förberedande åtgärder ökar risken avsevärt genom att offentligt tillkännage information som en cyberbrottsling kan använda för att iscensätta en attack och antar att de som skulle vidta åtgärder görs medvetna om problemet. Av de sårbarheter som avslöjas privat genom samordnade avslöjandepraxis och åtgärdas varje år av alla programvaruleverantörer, har vi funnit att nästan ingen utnyttjas innan en "fix" har tillhandahållits kunder, och även efter att en "fix" har gjorts allmänt tillgänglig endast en mycket små mängder utnyttjas någonsin. Omvänt är erfarenheten av sårbarheter som offentliggörs innan korrigeringar är tillgängliga för berörda produkter mycket sämre, med cyberbrottslingar som oftare orkestrerar attacker mot dem som inte har eller kan skydda sig själva.

En annan aspekt av CVD-debatten är relaterad till timing – särskilt hur lång tid som är acceptabel innan en forskare i stort sett kommunicerar förekomsten av en sårbarhet. Att fixa en bugg i webbtjänsten är helt annorlunda än att fixa en bugg i Windows som är ett decennium gammalt operativsystem.

Läs mer om det från Microsofts blogginlägg.