Офтоп
Редакция vc.ru

Microsoft обвинила Google в обнародовании уязвимости Windows за два дня до ее исправления

12 января Microsoft раскритиковала Google за раскрытие бага в операционной системе Windows 8.1 за два дня до того, как компания собиралась его исправить, пишет издание The Register. По мнению Microsoft, политика Google в отношении раскрытия информации об уязвимостях вредит пользователям.

Google анонсировала найденный баг 11 января, описав его как возможность расширения привилегий пользователя в Windows 8.1 благодаря определенным манипуляциям в ходе авторизации в системе, пишет издание The Register.

Это не первый подобный случай. 30 декабря 2014 года Google раскрыла другую уязвимость Windows 8.1, о которой сообщил Microsoft в сентябре 2014 года.

Как сообщает The Register, Google поступила так потому, что по правилам ее режима безопасности Project Zero, компания может сообщать об уязвимостях спустя 90 дней после того, как указала на них вендорам. В данном случае Microsoft была уведомлена 13 октября 2014 года.

Microsoft обвинила Google в безответственности, так как компания планировала решить эту проблему 13 января, и попросила Google не делать публичных заявлений о баге до этого момента.

«Мы попросили Google сотрудничать с нами ради защиты клиентов и не раскрывать деталей уязвимости, которую планировали исправить, до 13 января», — написал в блоге компании директор центра реагирования MSRC компании Microsoft Крис Бетц.

Бетц обвиняет Google в навязывании 90-дневного режима раскрытия информации, чтобы «раздражать» Microsoft, и считает, что её заявления больше похожи не на принципиальную позицию, а на попытки «покрасоваться», которые заканчиваются вредом для пользователей.

То, что подходит для Google, не всегда подходит для пользователей. Мы призываем Google сделать защиту клиентов нашей общей приоритетной целью.

Крис Бетц предложил Google и другим компаниям подписать договор Coordinated Vulnerability Disclosure, регламентирующий условия раскрытия найденных уязвимостей.

«Мы считаем, что было бы неверно с нашей стороны привлекать специалистов к поиску уязвимостей в продуктах конкурентов, указывая, что их исправление должно быть проведено в определенные сроки, а затем публиковать информацию, которая может навредить пользователям», — написал Бетц. Также директор центра реагирования MSRC добавил, что все заинтересованные стороны должны работать вместе, чтобы «не дать плохим парням ни малейшего шанса на использование уязвимостей».

Политика и подходы, которые ограничивают или игнорируют возможности сотрудничества, не идут на пользу ни разработчикам, ни поставщикам программного обеспечения, ни клиентам. Это тот случай, когда проигрывают все.

— Крис Бетц

The Register отмечает, что в последний раз, когда произошла схожая ситуация, представитель компании Google Бен Хокс написал, что политика 90-дневного периода должна ускорить процесс исправления багов. По мнению специалиста Google, если кто-либо воспользуется замеченной уязвимостью, её намного быстрее устранят.

«Забрав у вендора возможность скрыть информация об уязвимостях, мы даем пользователям шанс отреагировать на недостатки и потребовать ответа у поставщика», — отметил Хокс.

Microsoft явно не согласен с этим утверждением и заявленной выгодой пользователей, резюмирует The Register.

0
14 комментариев
Популярные
По порядку
Написать комментарий...

В защиту мс, в принципе, есть что сказать. 13 число взято не с потолка, они давно релизят обновления безопасности каждый второй вторник месяца, чем и является 13 января. Могли бы хоть до этого числа потерпеть и не выкладывать. Почему они не пофиксили за 90 дней? Вероятно потому что сейчас многие сотрудники брошены на десятку и им просто не хватило сил и времени сделать раньше.

5

1 Ну, вот завтра и посмотрим действительно ли сделали к 13-му
2 То, что силы брошены куда-то, _вместо_ починки критичных багов говорит о том, что на пользователей плевать именно микросовту, а ни как не гуглу.

4

такие штуки, к сожалению, просто нельзя быстро исправить, даже имея выделенную команду под это дело. надо же не только пару строк поменять в коде, но и протестировать на различных конфигурациях оборудования, что такое обновление не свалит ничего критического. в объемах MS такие проверки - необходимость :)

4

Мне кажется, дело было так:

12 января в офисе Майкрософт
-Блин! Гугл публично рассказал о той чертовой уязвимости, о которой он говорил нам когда-то давно, но мы на нее йух положили!
-Черт! Срочно публикуй новость, что гугл мерзавцы, а мы эту багу хотели вот как раз закрыть... какое сегодня?
-12 января!
-Пиши: мы её как раз 13го хотели закрыть!!!!

6

Ну как то так. Явно ж 90 дней просто не доходили руки, а не 90 дней лучшие умы планеты бились как это исправить.

3

Вообще помнится кто-то на Хабре писал, что его опыт показывает, что пока уязвимость не выложишь - никто из тех. поддержки даже не пошевелится на нее исправление, он уведомлял разные компании - проходили месяцы и никто ничего не исправлял, зато как только выкладываешь - фиксы делают за считанные часы.

Реалии таковы, что если фирма была уведомлена об уязвимости, но в разумный срок ничего не сделала, то пусть несет репутационные потери, как правило это весьма отрезвляюще действует на ЧСВ некоторых компаний.

4

90 дней - это не три месяца, а 90 дней. Мало того, что исправление планировали выпустить в притык срокам неогласки, так еще и дни посчитали неправильно. Сразу видно - майкрософт

4

90 дней вполне достаточно на исправление уязвимости, своими обвинениями Microsoft фактически говорит "Мы такие лопухи, что даже в срок уложится не можем"

2

Я Вас случайно минусанул)

0

бывает :)

1

плюсану тогда, хоть и не планировал, восстановлю справедливость)

0

Комментарий удален

- Heartbleed в наших сервисах? Через 90 дней починим, не волнуйтесь...

1

Клоунаду развели...

0

Тем временем Google оставил миллиард пользователей Android наедине с уязвимостями, которые вообще не собирается устранять.

0
Читать все 14 комментариев
Что на самом деле приводит мир в движение: история инструментов бухгалтерского учёта

От засечек на палках до специальных программ

UNIVAC I.
Многопотоковая обработка файлов

В работе по анализу данных иногда требуется обработать большое количество файлов, настолько большое, что обработка может занять неделю, другую. В этой статье вы познакомитесь с многопоточностью в Python и как я решал проблему обработки большого количества файлов.

Как сотрудники Tele2 стали лицами бренда

Кто сказал, что сниматься для рекламы могут только профессиональные модели? В компании Tele2 лицами для внутренних и внешних рекламных кампаний становятся даже собственные сотрудники! Мы собрали истории коллег, которые подали заявки на конкурс и приняли участие в профессиональной фотосессии, а теперь их портреты украшают фотобанк Tele2.

В Петербурге запретят работу ресторанов и кино по ночам с 8 ноября Статьи редакции

Можно работать только до 23:00.

Созданная «Яндексом» компания ClickHouse привлекла $250 млн при оценке в $2 млрд Статьи редакции

Инвестиции направят на расширение штата и развитие международного бизнеса.

Спасти еду: экологичное ИТ-решение помогает ресторанам справляться с перепроизводством блюд

Каждый год в России выбрасывают около 17 млн тонн продуктов на 1,6 трлн рублей.

Как мы организовали коллективное обучение в айти и почему оно лучше обычных курсов

Мы уже обучили и трудоустроили 47 отличных frontend-специалистов и не собираемся на этом останавливаться.

«Альфа-банк» отключил части клиентов бесплатные push-уведомления о покупках Статьи редакции

Бесплатные push-уведомления останутся только для подтверждения операций.

«Альфа-банк»: недостоверная информация о плате за обслуживание по кредитной карте

Решила оформить кредитку Альфа-банка «100 дней без %» по специальной ссылке. При оформлении по ней банк обещает 0 ₽ за обслуживание в первый год.

«Там считают, если взял выходной — не любишь свою работу»: музыканты из Кирова зарабатывают в Китае $1500 в месяц Статьи редакции

Дорогу, миграционные документы и проживание оплачивали работодатели, а кавер-группа выступала каждый день.

«Когда геоданные попадают на рынок, их можно перепродавать бесконечно»: как устроен рынок сведений о местоположении Статьи редакции

Издание The Markup изучило 47 фирм, которые собирают данные о геолокации пользователей, и рассказало, как информация попадает в сеть, где она продаётся и кто её покупает.

Unsplash
null