Microsoft недовольна действиями Google и публикацией уязвимости в Windows 8.1

Подведем итоги. Прошлым летом Google объявила о создании исследовательской группы под названием Project Zero, отвечающей за обнаружение и оповещение о проблемах безопасности в своем программном обеспечении или программном обеспечении других компаний. 30 сентября эта команда предупредила Microsoft о существовании уязвимости в Windows 8.1, которая может позволить третьим лицам получить контроль над работающей машиной Windows 8.1. Это было сделано путем сопровождения уведомления о 90-дневном сроке для тех, кто в Редмонде, чтобы решить его, прежде чем сделать его полностью общедоступным.

Последнее произошло на прошлой неделе. После тех 90 дней, когда Microsoft не смогла закончить ее исправление, уязвимость была обнародована исследовательской группой Google, что позволяет любому узнать о ней и подробно описывает, как она можно было эксплуатировать. Это не понравилось в Редмонде, где уже работали над решением. Это так мало понравилось, что Крис Бетц, старший директор Microsoft Security Response Center (MSRC), решил опубликовать заметку, в которой сожалеет о действиях тех, кто из Маунтин-Вью, и призывает к лучшему взаимопониманию между командами безопасности компаний.

Бетц очень критически относится к работе Google в этом вопросе. Судя по всему, из Редмонда попросил бы команду «Проекта Зеро» отложить публикацию постановления до 13 января, когда они планировали распространять решение через его известные патчи вторника.К сожалению, те из Маунтин-Вью не выполнили просьбу, и это мотивировало их ответ, защищающий лучший способ сотрудничества в такой ситуации.

В Microsoft они считают стратегию, которой придерживается Google, неправильной, заключающейся в том, что исследовательская группа находит уязвимости в конкурирующих продуктах, усиливая давление с помощью срок для их решения и угроза опубликовать его, если он будет превышен. Не все уязвимости представляют одинаковый уровень угрозы, и часто они не имеют быстрого решения или их применение более или менее сложно, поэтому установление обратного отсчета для их публикации — не лучший способ поощрения их решения.

Из Редмонда больше выступать за то, чтобы исследователи в частном порядке предупреждали компании о потенциальных уязвимостях и работали с ними над исправлением, не требуя временных ограничений или угроз публикация.

Через | Майкрософт