Конфлікт між Microsoft і Google

Корпорація Microsoft розкритикувала Google за те, що та розмістила у відкритому доступі інформацію про уразливість в Windows 8.1 і експлойт до неї всього лише за два дні до того моменту, коли Microsoft збиралася випустити відповідний патч.

Уразливість, про яку йде мова, дозволяє користувачам Windows підвищувати свої привілеї в системі до адміністратора і отримувати доступ до функцій, котрі повинні бути для них недоступні.

Невдоволення, зокрема, в офіційному блозі корпорації висловив Кріс Бетс (Chris Betz), старший директор Microsoft Security Response Center. У довгій статті, автором якої він став, йдеться про появу більш серйозних загроз інформаційній безпеці і необхідності згуртованої боротьби з ними замість того, щоб діяти окремо.

«На жаль, Google знехтувала правилами координованого розкриття інформації про уразливість і опублікувала інформацію за два дні до запланованого випуску оновлення, незважаючи на наші прохання не робити цього», – заявив Бетс. На його думку, для Google виявилася важливішою за першої повідомити про уразливість, ніж убезпечити користувачів.

«Правила і підходи, які полягають в обмеженні або нехтуванні партнерських відносин при пошуку і усунення вразливостей, не несуть ніякої користі ні самим дослідникам, ні розробникам ПО, ні користувачам. Такі методи залишають всіх в програші », – заявив представник Microsoft. На його думку, ті, хто розкриває інформацію про уразливість до випуску патчів, завдає шкоди «мільйонам користувачів, що залежать від програмного продукту».

Фахівці Google виявили уразливість в жовтні 2013 року і відразу ж повідомили Microsoft. Це було зроблено в рамках проекту Project Zero. Згідно з його правилами, інформація про баг розкривається публічно через 90 днів з дня повідомлення виробника програмного продукту про його наявності.

Project Zero був анонсований в липні 2014 г. Однією з перших його учасником став хакер Джордж Хотц (George Hotz), він же GeoHot – перший і єдиний чоловік, якому вдалося зламати Sony PlayStation 3. Мета проекту – пошук вразливостей в популярному програмному забезпеченні і перевірка швидкості реакції вендорів, яка полягає в оцінці часу між виявленням уразливості і випуском оновлення. Microsoft цей тест не пройшла.

Додамо, що з січня 2015 р Microsoft закрила безкоштовний сервіс раннього попередження про загрози Advance Notification Service (ANS).

Тепер він доступний тільки для тих корпоративних клієнтів, які користуються платною підтримкою Premium. Сервіс ANS дозволяв дізнаватися уразливості, до яких компанія збирається випустити патчі найближчим часом.

Ссылка на основную публикацию