Microsoft nie je spokojný so spoločnosťou Google a zverejnením chyby zabezpečenia v systéme Windows 8.1

Poďme si to zrekapitulovať. Minulé leto Google oznámil vytvorenie výskumnej skupiny s názvom „Project Zero“, ktorá má na starosti zisťovanie a upozorňovanie na bezpečnostné problémy v jeho softvéri alebo v softvéri iných spoločností. Dňa 30. septembra tento tím upozornil Microsoft na existenciu chyby zabezpečenia v systéme Windows 8.1, ktorá by mohla tretím stranám umožniť získať kontrolu nad operačným systémom Windows 8.1. Urobilo to tak, že pripojilo oznámenie o 90-dňovom časovom limite pre ľudí v Redmonde na vyriešenie pred jeho úplným zverejnením.

Toto posledné sa stalo minulý týždeň. Po tých 90 dňoch bez toho, aby spoločnosť Microsoft mohla dokončiť opravu, zraniteľnosť zverejnila výskumná skupina Google, čím umožnila komukoľvek sa o nej dozvedieť a podrobne uviesť, ako prebieha mohli byť zneužité. To sa nepáčilo v Redmonde, kde už pracovali na riešení. Tak málo sa páčilo, že Chris Betz, hlavný riaditeľ Centra bezpečnostných reakcií spoločnosti Microsoft (MSRC), sa rozhodol zverejniť poznámku, v ktorej ľutuje konanie ľudí z Mountain View a vyzýva k lepšiemu porozumeniu medzi bezpečnostnými tímami spoločností.

Betz je veľmi kritický k výkonu spoločnosti Google v tejto veci. z Redmondu by zrejme požiadal tím „Project Zero“, aby odložil zverejnenie rozsudku do 13. januára, kedy plánovali distribuovať riešenie prostredníctvom jeho známe utorkové záplaty.Žiaľ, tí z Mountain View nevyhoveli žiadosti a to motivovalo ich reakciu obhajovať lepší spôsob spolupráce v tomto type situácie.

V spoločnosti Microsoft stratégiu, ktorú Google používa, považujú za nesprávnu, keď výskumný tím našiel zraniteľné miesta v konkurenčných produktoch, čím zvýšil tlak lehotu na ich vyriešenie a vyhrážanie sa jej zverejnením v prípade jej prekročenia. Nie všetky zraniteľnosti predstavujú rovnakú úroveň ohrozenia a často nemajú rýchle riešenie alebo je ich aplikácia viac či menej komplikovaná, takže stanovenie odpočítavania času na ich zverejnenie nie je najlepší spôsob, ako podporiť ich riešenie.

Z Redmondu Viac sa zasadzujte za to, aby výskumníci súkromne upozorňovali spoločnosti na potenciálne zraniteľné miesta a spolupracovali s nimi na oprave bez toho, aby vyžadovali dočasné alebo hroziace obmedzenia publikácia.

Via | Microsoft