Firma Microsoft jest niezadowolona z Google i publikacji luki w systemie Windows 8.1

Podsumujmy. Zeszłego lata Google ogłosił utworzenie grupy badawczej o nazwie „Project Zero” odpowiedzialnej za wykrywanie i ostrzeganie o problemach bezpieczeństwa w swoim oprogramowaniu lub innych firmach. 30 września zespół ten zaalarmował firmę Microsoft o istnieniu luki w zabezpieczeniach systemu Windows 8.1, która może umożliwić osobom trzecim przejęcie kontroli nad działającą maszyną z systemem Windows 8.1. Uczynił to, dołączając zawiadomienie o 90-dniowym terminie dla mieszkańców Redmond na rozwiązanie go przed pełnym upublicznieniem.

To ostatnie wydarzyło się w zeszłym tygodniu. Po tych 90 dniach bez możliwości zakończenia naprawy przez firmę Microsoft, luka została upubliczniona przez grupę badawczą Google, dzięki czemu każdy mógł się o niej dowiedzieć i szczegółowo opisać, w jaki sposób można było wykorzystać. To nie spodobało się w Redmond, gdzie już pracowali nad rozwiązaniem. Tak mało się to spodobało, że Chris Betz, starszy dyrektor w Microsoft Security Response Center (MSRC), zdecydował się opublikować notatkę, w której wyraża ubolewanie z powodu działań osób z Mountain View i wzywa do lepszego zrozumienia między zespołami ds. bezpieczeństwa obu firm.

Betz bardzo krytycznie ocenia działania Google w tej sprawie. Najwyraźniej firma z Redmond poprosiła zespół „Projektu Zero” o opóźnienie publikacji orzeczenia do 13 stycznia, kiedy to planowano dystrybucję rozwiązania za pośrednictwem jego dobrze znane wtorkowe łatki.Niestety osoby z Mountain View nie zastosowały się do prośby, co zmotywowało ich do obrony lepszego sposobu współpracy w tego typu sytuacjach.

W firmie Microsoft uważają, że strategia stosowana przez Google jest błędna polegająca na zlecaniu zespołowi badawczemu znajdowania luk w zabezpieczeniach konkurencyjnych produktów, co zwiększa presję ze strony wyznaczenie terminu ich rozwiązania i grożenie publikacją w przypadku jego przekroczenia. Nie wszystkie luki stwarzają ten sam poziom zagrożenia i często nie ma szybkiego rozwiązania lub ich zastosowanie jest mniej lub bardziej skomplikowane, więc odliczanie czasu do ich publikacji nie jest najlepszym sposobem na zachęcenie do ich rozwiązania.

Z Redmond promuj więcej badaczy, aby prywatnie ostrzegali firmy o potencjalnych lukach w zabezpieczeniach i pracuj z nimi nad naprawą bez żądania ograniczeń tymczasowych lub zagrażających opublikowanie.

Przez | Microsoft