Microsoft nav apmierināta ar Google un Windows 8.1 ievainojamības publicēšanu

Atgādināsim. Pagājušajā vasarā Google paziņoja par pētniecības grupas "Project Zero" izveidošanu, kas ir atbildīga par drošības problēmu noteikšanu un brīdināšanu savā vai citu uzņēmumu programmatūrā. 30. septembrī šī komanda brīdināja Microsoft par ievainojamību operētājsistēmā Windows 8.1, kas varētu ļaut trešajām pusēm iegūt kontroli pār Windows 8.1 iekārtas darbību. Tas tika darīts, pievienojot paziņojumu par 90 dienu termiņu Redmondas iedzīvotājiem, lai to atrisinātu, pirms tas tika pilnībā publiskots.

Pēdējais bija tas, kas beidzās pagājušajā nedēļā. Pēc šīm 90 dienām, kamēr Microsoft nevarēja pabeigt tās labošanu, Google pētījumu grupa publiskoja ievainojamību, ļaujot ikvienam uzzināt par to un detalizēti izklāstot, kā tā tiek novērsta. varētu izmantot. Redmondā, kur viņi jau strādāja pie risinājuma, tas nepatika. Tik maz patika, ka Microsoft Security Response Center (MSRC) vecākais direktors Kriss Betzs ir nolēmis publicēt piezīmi, paužot nožēlu par Mauntinvjū darbu un aicinot uz labāku saprašanos starp uzņēmumu drošības komandām.

Betz ļoti kritiski vērtē Google darbību šajā jautājumā. Acīmredzot no Redmondas būtu lūgusi 'Project Zero' komandai atlikt nolēmuma publicēšanu līdz 13. janvārim, kad viņi plānoja izplatīt risinājumu, izmantojot tā labi zināmie otrdienu ielāpi.Diemžēl cilvēki no Mauntinvjū neizpildīja pieprasījumu, un tas ir motivējis viņu atbildi aizstāvēt labāku veidu, kā sadarboties šāda veida situācijā.

Uzņēmumā Microsoft viņi uzskata, ka Google izmantotā stratēģija ir nepareiza, kas paredz, ka pētnieku komanda atklāj ievainojamības konkurējošos produktos, tādējādi palielinot spiedienu termiņu, kurā tie jāatrisina, un draudot to publicēt, ja tas tiks pārsniegts. Ne visas ievainojamības rada vienādu apdraudējuma līmeni, un bieži vien tām nav ātra risinājuma vai to pielietošana ir vairāk vai mazāk sarežģīta, tāpēc to publicēšanas laika atskaites noteikšana nav labākais veids, kā veicināt to risinājumu.

Redmondas Vairāk atbalstiet pētniekus, lai privāti brīdinātu uzņēmumuspar iespējamām ievainojamībām un strādājiet ar tiem, lai novērstu to, nepieprasot pagaidu ierobežojumus vai draudus publikācija.

Via | Microsoft