Офтоп Редакция vc.ru
2 876

Microsoft обвинила Google в обнародовании уязвимости Windows за два дня до ее исправления

12 января Microsoft раскритиковала Google за раскрытие бага в операционной системе Windows 8.1 за два дня до того, как компания собиралась его исправить, пишет издание The Register. По мнению Microsoft, политика Google в отношении раскрытия информации об уязвимостях вредит пользователям.

Google анонсировала найденный баг 11 января, описав его как возможность расширения привилегий пользователя в Windows 8.1 благодаря определенным манипуляциям в ходе авторизации в системе, пишет издание The Register.

Это не первый подобный случай. 30 декабря 2014 года Google раскрыла другую уязвимость Windows 8.1, о которой сообщил Microsoft в сентябре 2014 года.

Как сообщает The Register, Google поступила так потому, что по правилам ее режима безопасности Project Zero, компания может сообщать об уязвимостях спустя 90 дней после того, как указала на них вендорам. В данном случае Microsoft была уведомлена 13 октября 2014 года.

Microsoft обвинила Google в безответственности, так как компания планировала решить эту проблему 13 января, и попросила Google не делать публичных заявлений о баге до этого момента.

«Мы попросили Google сотрудничать с нами ради защиты клиентов и не раскрывать деталей уязвимости, которую планировали исправить, до 13 января», — написал в блоге компании директор центра реагирования MSRC компании Microsoft Крис Бетц.

Бетц обвиняет Google в навязывании 90-дневного режима раскрытия информации, чтобы «раздражать» Microsoft, и считает, что её заявления больше похожи не на принципиальную позицию, а на попытки «покрасоваться», которые заканчиваются вредом для пользователей.

То, что подходит для Google, не всегда подходит для пользователей. Мы призываем Google сделать защиту клиентов нашей общей приоритетной целью.

Крис Бетц предложил Google и другим компаниям подписать договор Coordinated Vulnerability Disclosure, регламентирующий условия раскрытия найденных уязвимостей.

«Мы считаем, что было бы неверно с нашей стороны привлекать специалистов к поиску уязвимостей в продуктах конкурентов, указывая, что их исправление должно быть проведено в определенные сроки, а затем публиковать информацию, которая может навредить пользователям», — написал Бетц. Также директор центра реагирования MSRC добавил, что все заинтересованные стороны должны работать вместе, чтобы «не дать плохим парням ни малейшего шанса на использование уязвимостей».

Политика и подходы, которые ограничивают или игнорируют возможности сотрудничества, не идут на пользу ни разработчикам, ни поставщикам программного обеспечения, ни клиентам. Это тот случай, когда проигрывают все.

— Крис Бетц

The Register отмечает, что в последний раз, когда произошла схожая ситуация, представитель компании Google Бен Хокс написал, что политика 90-дневного периода должна ускорить процесс исправления багов. По мнению специалиста Google, если кто-либо воспользуется замеченной уязвимостью, её намного быстрее устранят.

«Забрав у вендора возможность скрыть информация об уязвимостях, мы даем пользователям шанс отреагировать на недостатки и потребовать ответа у поставщика», — отметил Хокс.

Microsoft явно не согласен с этим утверждением и заявленной выгодой пользователей, резюмирует The Register.

#Дружелюбные_профессионалы #Google #microsoft #честная_конкуренция #windows #уязвимость #windows_8_1 #Баги

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Редакция vc.ru", "author_type": "self", "tags": ["\u0447\u0435\u0441\u0442\u043d\u0430\u044f_\u043a\u043e\u043d\u043a\u0443\u0440\u0435\u043d\u0446\u0438\u044f","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c","\u0434\u0440\u0443\u0436\u0435\u043b\u044e\u0431\u043d\u044b\u0435_\u043f\u0440\u043e\u0444\u0435\u0441\u0441\u0438\u043e\u043d\u0430\u043b\u044b","\u0431\u0430\u0433\u0438","windows_8_1","windows","microsoft","google"], "comments": 14, "likes": 11, "favorites": 0, "is_advertisement": false, "subsite_label": "flood", "id": 6333, "is_wide": true, "is_ugc": true, "date": "Mon, 12 Jan 2015 15:02:03 +0300" }
{ "id": 6333, "author_id": 2, "diff_limit": 1000, "urls": {"diff":"\/comments\/6333\/get","add":"\/comments\/6333\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/6333"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791, "possessions": [] }

14 комментариев 14 комм.

Популярные

По порядку

Написать комментарий...
5

В защиту мс, в принципе, есть что сказать. 13 число взято не с потолка, они давно релизят обновления безопасности каждый второй вторник месяца, чем и является 13 января. Могли бы хоть до этого числа потерпеть и не выкладывать. Почему они не пофиксили за 90 дней? Вероятно потому что сейчас многие сотрудники брошены на десятку и им просто не хватило сил и времени сделать раньше.

Ответить
4

1 Ну, вот завтра и посмотрим действительно ли сделали к 13-му
2 То, что силы брошены куда-то, _вместо_ починки критичных багов говорит о том, что на пользователей плевать именно микросовту, а ни как не гуглу.

Ответить
4

такие штуки, к сожалению, просто нельзя быстро исправить, даже имея выделенную команду под это дело. надо же не только пару строк поменять в коде, но и протестировать на различных конфигурациях оборудования, что такое обновление не свалит ничего критического. в объемах MS такие проверки - необходимость :)

Ответить
6

Мне кажется, дело было так:

12 января в офисе Майкрософт
-Блин! Гугл публично рассказал о той чертовой уязвимости, о которой он говорил нам когда-то давно, но мы на нее йух положили!
-Черт! Срочно публикуй новость, что гугл мерзавцы, а мы эту багу хотели вот как раз закрыть... какое сегодня?
-12 января!
-Пиши: мы её как раз 13го хотели закрыть!!!!

Ответить
3

Ну как то так. Явно ж 90 дней просто не доходили руки, а не 90 дней лучшие умы планеты бились как это исправить.

Ответить
4

Вообще помнится кто-то на Хабре писал, что его опыт показывает, что пока уязвимость не выложишь - никто из тех. поддержки даже не пошевелится на нее исправление, он уведомлял разные компании - проходили месяцы и никто ничего не исправлял, зато как только выкладываешь - фиксы делают за считанные часы.

Реалии таковы, что если фирма была уведомлена об уязвимости, но в разумный срок ничего не сделала, то пусть несет репутационные потери, как правило это весьма отрезвляюще действует на ЧСВ некоторых компаний.

Ответить
4

90 дней - это не три месяца, а 90 дней. Мало того, что исправление планировали выпустить в притык срокам неогласки, так еще и дни посчитали неправильно. Сразу видно - майкрософт

Ответить
2

90 дней вполне достаточно на исправление уязвимости, своими обвинениями Microsoft фактически говорит "Мы такие лопухи, что даже в срок уложится не можем"

Ответить
0

Я Вас случайно минусанул)

Ответить
1

бывает :)

Ответить
0

плюсану тогда, хоть и не планировал, восстановлю справедливость)

Ответить

1

- Heartbleed в наших сервисах? Через 90 дней починим, не волнуйтесь...

Ответить
0

Клоунаду развели...

Ответить
0

Тем временем Google оставил миллиард пользователей Android наедине с уязвимостями, которые вообще не собирается устранять.

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Компания отказалась от email
в пользу общения при помощи мемов
Подписаться на push-уведомления
{ "page_type": "default" }