Microsoft обвинила Google в обнародовании уязвимости Windows за два дня до ее исправления

12 января Microsoft раскритиковала Google за раскрытие бага в операционной системе Windows 8.1 за два дня до того, как компания собиралась его исправить, пишет издание The Register. По мнению Microsoft, политика Google в отношении раскрытия информации об уязвимостях вредит пользователям.

Microsoft обвинила Google в обнародовании уязвимости Windows за два дня до ее исправления

Google анонсировала найденный баг 11 января, описав его как возможность расширения привилегий пользователя в Windows 8.1 благодаря определенным манипуляциям в ходе авторизации в системе, пишет издание The Register.

Это не первый подобный случай. 30 декабря 2014 года Google раскрыла другую уязвимость Windows 8.1, о которой сообщил Microsoft в сентябре 2014 года.

Как сообщает The Register, Google поступила так потому, что по правилам ее режима безопасности Project Zero, компания может сообщать об уязвимостях спустя 90 дней после того, как указала на них вендорам. В данном случае Microsoft была уведомлена 13 октября 2014 года.

Microsoft обвинила Google в безответственности, так как компания планировала решить эту проблему 13 января, и попросила Google не делать публичных заявлений о баге до этого момента.

«Мы попросили Google сотрудничать с нами ради защиты клиентов и не раскрывать деталей уязвимости, которую планировали исправить, до 13 января», — написал в блоге компании директор центра реагирования MSRC компании Microsoft Крис Бетц.

Бетц обвиняет Google в навязывании 90-дневного режима раскрытия информации, чтобы «раздражать» Microsoft, и считает, что её заявления больше похожи не на принципиальную позицию, а на попытки «покрасоваться», которые заканчиваются вредом для пользователей.

То, что подходит для Google, не всегда подходит для пользователей. Мы призываем Google сделать защиту клиентов нашей общей приоритетной целью.

Крис Бетц предложил Google и другим компаниям подписать договор Coordinated Vulnerability Disclosure, регламентирующий условия раскрытия найденных уязвимостей.

«Мы считаем, что было бы неверно с нашей стороны привлекать специалистов к поиску уязвимостей в продуктах конкурентов, указывая, что их исправление должно быть проведено в определенные сроки, а затем публиковать информацию, которая может навредить пользователям», — написал Бетц. Также директор центра реагирования MSRC добавил, что все заинтересованные стороны должны работать вместе, чтобы «не дать плохим парням ни малейшего шанса на использование уязвимостей».

Политика и подходы, которые ограничивают или игнорируют возможности сотрудничества, не идут на пользу ни разработчикам, ни поставщикам программного обеспечения, ни клиентам. Это тот случай, когда проигрывают все.

— Крис Бетц

The Register отмечает, что в последний раз, когда произошла схожая ситуация, представитель компании Google Бен Хокс написал, что политика 90-дневного периода должна ускорить процесс исправления багов. По мнению специалиста Google, если кто-либо воспользуется замеченной уязвимостью, её намного быстрее устранят.

«Забрав у вендора возможность скрыть информация об уязвимостях, мы даем пользователям шанс отреагировать на недостатки и потребовать ответа у поставщика», — отметил Хокс.

Microsoft явно не согласен с этим утверждением и заявленной выгодой пользователей, резюмирует The Register.

14 комментариев

В защиту мс, в принципе, есть что сказать. 13 число взято не с потолка, они давно релизят обновления безопасности каждый второй вторник месяца, чем и является 13 января. Могли бы хоть до этого числа потерпеть и не выкладывать. Почему они не пофиксили за 90 дней? Вероятно потому что сейчас многие сотрудники брошены на десятку и им просто не хватило сил и времени сделать раньше.

5

1 Ну, вот завтра и посмотрим действительно ли сделали к 13-му
2 То, что силы брошены куда-то, _вместо_ починки критичных багов говорит о том, что на пользователей плевать именно микросовту, а ни как не гуглу.

4

такие штуки, к сожалению, просто нельзя быстро исправить, даже имея выделенную команду под это дело. надо же не только пару строк поменять в коде, но и протестировать на различных конфигурациях оборудования, что такое обновление не свалит ничего критического. в объемах MS такие проверки - необходимость :)

4

Мне кажется, дело было так:

12 января в офисе Майкрософт
-Блин! Гугл публично рассказал о той чертовой уязвимости, о которой он говорил нам когда-то давно, но мы на нее йух положили!
-Черт! Срочно публикуй новость, что гугл мерзавцы, а мы эту багу хотели вот как раз закрыть... какое сегодня?
-12 января!
-Пиши: мы её как раз 13го хотели закрыть!!!!

6

Ну как то так. Явно ж 90 дней просто не доходили руки, а не 90 дней лучшие умы планеты бились как это исправить.

3

Вообще помнится кто-то на Хабре писал, что его опыт показывает, что пока уязвимость не выложишь - никто из тех. поддержки даже не пошевелится на нее исправление, он уведомлял разные компании - проходили месяцы и никто ничего не исправлял, зато как только выкладываешь - фиксы делают за считанные часы.

Реалии таковы, что если фирма была уведомлена об уязвимости, но в разумный срок ничего не сделала, то пусть несет репутационные потери, как правило это весьма отрезвляюще действует на ЧСВ некоторых компаний.

4

90 дней - это не три месяца, а 90 дней. Мало того, что исправление планировали выпустить в притык срокам неогласки, так еще и дни посчитали неправильно. Сразу видно - майкрософт

4