Microsoft tiết lộ rằng Google đã phát hành chi tiết về lỗ hổng bảo mật của Windows bất chấp yêu cầu trì hoãn của họ

Một nghiên cứu viên của Google đã tìm thấy một lỗ hổng bảo mật chưa được vá trong Windows 8.1 và anh ta đã đăng lỗi này lên trang Nghiên cứu Bảo mật của Google và nó phải tuân theo thời hạn tiết lộ là 90 ngày. Nếu 90 ngày trôi qua mà không có bản vá được cung cấp rộng rãi, thì báo cáo lỗi sẽ tự động hiển thị cho công chúng. Với chính sách này, Google đã công bố thông tin về lỗ hổng bảo mật trên web. Đó là một động thái vô trách nhiệm của Google khi công bố một lỗ hổng bảo mật trên một sản phẩm như Windows đang được hàng triệu người sử dụng hàng ngày.

Hôm nay, Microsoft xác nhận rằng họ đã yêu cầu Google trì hoãn quá trình này trong 2 ngày cho đến khi họ phát hành bản sửa lỗi. Tuy nhiên, Google đã từ chối yêu cầu một cách vui vẻ mà không lo lắng về hàng triệu người dùng.

Triết lý và hành động của CVD đang được thể hiện ngày hôm nay khi một công ty - Google - đã công bố thông tin về lỗ hổng bảo mật trong sản phẩm của Microsoft, hai ngày trước khi chúng tôi dự kiến ​​sửa lỗi cho nhịp Patch Tuesday nổi tiếng và được điều phối của chúng tôi, bất chấp yêu cầu của chúng tôi rằng họ tránh làm như vậy. Cụ thể, chúng tôi đã yêu cầu Google làm việc với chúng tôi để bảo vệ khách hàng bằng cách giữ lại thông tin chi tiết cho đến Thứ Ba, ngày 13 tháng XNUMX, khi chúng tôi sẽ phát hành bản sửa lỗi. Mặc dù tuân thủ theo đúng tiến trình công bố của Google về việc tiết lộ thông tin, nhưng quyết định này có vẻ ít giống các nguyên tắc hơn và giống như một “gotcha”, với khách hàng là những người có thể phải gánh chịu hậu quả. Những gì phù hợp với Google không phải lúc nào cũng phù hợp với khách hàng. Chúng tôi kêu gọi Google thực hiện mục tiêu chính chung của chúng tôi là bảo vệ khách hàng.

Microsoft từ lâu đã tin rằng tiết lộ có phối hợp là cách tiếp cận đúng đắn và giảm thiểu rủi ro cho khách hàng. Chúng tôi tin rằng những người tiết lộ đầy đủ lỗ hổng bảo mật trước khi bản sửa lỗi được phổ biến rộng rãi đang gây bất lợi cho hàng triệu người và hệ thống mà họ phụ thuộc vào. Các công ty và cá nhân khác tin rằng việc tiết lộ thông tin đầy đủ là cần thiết vì nó buộc khách hàng phải tự bảo vệ mình, mặc dù phần lớn không có hành động gì, phần lớn phụ thuộc vào nhà cung cấp phần mềm để phát hành bản cập nhật bảo mật. Ngay cả đối với những người có thể thực hiện các bước chuẩn bị, rủi ro sẽ tăng lên đáng kể khi thông báo công khai thông tin mà tội phạm mạng có thể sử dụng để dàn dựng một cuộc tấn công và giả định rằng những kẻ sẽ thực hiện hành động đã biết về vấn đề này. Trong số các lỗ hổng bảo mật được tiết lộ một cách riêng tư thông qua các hoạt động phối hợp tiết lộ và được sửa chữa hàng năm bởi tất cả các nhà cung cấp phần mềm, chúng tôi nhận thấy rằng hầu như không có lỗ hổng nào bị khai thác trước khi "bản sửa lỗi" được cung cấp cho khách hàng và ngay cả sau khi "bản sửa lỗi" được công bố công khai chỉ có một số lượng rất nhỏ chưa từng được khai thác. Ngược lại, hồ sơ theo dõi các lỗ hổng được tiết lộ công khai trước khi có bản sửa lỗi cho các sản phẩm bị ảnh hưởng còn tồi tệ hơn nhiều, với việc tội phạm mạng thường xuyên dàn dựng các cuộc tấn công chống lại những người không hoặc không thể tự bảo vệ mình.

Một khía cạnh khác của cuộc tranh luận về CVD là liên quan đến thời gian - cụ thể là khoảng thời gian có thể chấp nhận được trước khi nhà nghiên cứu thông báo rộng rãi về sự tồn tại của một lỗ hổng. Sửa một lỗi trong dịch vụ web hoàn toàn khác với sửa một lỗi trong Windows, hệ điều hành đã có tuổi đời hàng chục năm.

Tìm hiểu thêm về nó từ bài đăng trên blog của Microsoft.