Microsoft розкриває, що Google оприлюднила подробиці про вразливість Windows, незважаючи на їх прохання відкласти це

Дослідник Google виявив невиправлену вразливість безпеки в Windows 8.1, і він опублікував помилку на сторінці Google Security Research, і вона підлягала 90-денному терміну розкриття. Якщо мине 90 днів без загальнодоступного виправлення, звіт про помилку автоматично стане видимим для громадськості. Відповідно до цієї політики Google опублікував інформацію про вразливості в Інтернеті. Це був безвідповідальний крок від Google, щоб опублікувати вразливість у такому продукті, як Windows, яким щодня користуються мільйони людей.

Сьогодні Microsoft підтвердила, що звернулася до Google із проханням відкласти цей процес на 2 дні, поки вони не опублікують виправлення. Але Google із задоволенням відхилив запит, не турбуючись про мільйони користувачів.

Філософія та дії CVD діють сьогодні, коли одна компанія – Google – оприлюднила інформацію про вразливість у продукті Microsoft за два дні до нашого запланованого виправлення нашого добре відомого та скоординованого порядку вівторка, незважаючи на наше прохання, щоб вони уникали цього. Зокрема, ми попросили Google співпрацювати з нами, щоб захистити клієнтів, приховуючи інформацію до вівторка, 13 січня, коли ми опублікуємо виправлення. Незважаючи на те, що дотримання дотримується оголошеного Google терміну розкриття інформації, це рішення не схоже на принципи, а більше схоже на «придурку», з клієнтами, які можуть постраждати в результаті. Те, що підходить Google, не завжди підходить клієнтам. Ми закликаємо Google зробити захист клієнтів нашою спільною основною метою.

Корпорація Майкрософт давно вважала, що скоординоване розкриття інформації є правильним підходом і мінімізує ризики для клієнтів. Ми вважаємо, що ті, хто повністю розкриває вразливість до того, як виправлення стане широко доступним, завдають ведмежу послугу мільйонам людей і системам, від яких вони залежать. Інші компанії та окремі особи вважають, що повне розкриття інформації є необхідним, оскільки це змушує клієнтів захищатися, навіть якщо переважна більшість не вживає жодних дій, оскільки вони значною мірою залежать від постачальника програмного забезпечення для випуску оновлення безпеки. Навіть для тих, хто може зробити підготовчі кроки, ризик значно збільшується, якщо публічно оголошувати інформацію, яку кіберзлочинець може використати для організації атаки, і припускає, що ті, хто вживає заходів, повідомлені про проблему. З тих вразливостей, які приватно розкриваються за допомогою скоординованої практики розкриття та щороку виправляються всіма постачальниками програмного забезпечення, ми виявили, що майже жодна не експлуатується до того, як «виправлення» буде надано клієнтам, і навіть після того, як «виправлення» стане загальнодоступним, лише дуже мала кількість коли-небудь експлуатується. І навпаки, послужний список уразливостей, оприлюднених до того, як будуть доступні виправлення для уражених продуктів, набагато гірший, оскільки кіберзлочинці частіше організовують атаки на тих, хто не захистив себе або не може захистити себе.

Інший аспект дискусії щодо ССЗ пов’язаний із термінами – зокрема, прийнятною кількістю часу, перш ніж дослідник широко повідомить про існування вразливості. Виправлення помилки у веб-службі повністю відрізняється від виправлення помилки в Windows, яка є десятилітньою ОС.

Детальніше про це з публікації в блозі Microsoft.