Microsoft este nemulțumit de Google și de publicarea unei vulnerabilități în Windows 8.1
Să recapitulăm. Vara trecută, Google a anunțat formarea unui grup de cercetare numit „Proiectul Zero” responsabil cu detectarea și alertarea cu privire la problemele de securitate din software-ul său sau al altor companii. Pe 30 septembrie, această echipă a alertat Microsoft despre existența unei vulnerabilități în Windows 8.1 care ar putea permite terților să obțină controlul asupra unei mașini Windows 8.1 operaționale. A făcut acest lucru însoțind notificarea privind un termen limită de 90 de zile pentru ca cei din Redmond să o rezolve înainte de a o face pe deplin publică.
Asta din urmă a fost ceea ce a ajuns să se întâmple săptămâna trecută. După acele 90 de zile fără ca Microsoft să reușească să o repare, vulnerabilitatea a fost făcută publică de grupul de cercetare Google, permițând oricui să știe despre ea și detaliând cum se face. ar putea fi exploatat. Nu i-a plăcut în Redmond, unde deja lucrau la o soluție. Atat de putin i-a placut, incat Chris Betz, director senior la Microsoft Security Response Center (MSRC), a decis sa publice o nota in care regreta actiunea celor de la Mountain View si face apel la o mai buna intelegere intre echipele de securitate ale companiilor.
Betz este foarte critic cu privire la performanța Google în această problemă. Aparent, de la Redmond ar fi cerut echipei „Proiectul Zero” să amâne publicarea hotărârii până pe 13 ianuarie, moment în care plănuiau să distribuie o soluție prin binecunoscutele sale petice de marți.Din păcate, cei de la Mountain View nu au dat curs solicitării și asta a motivat răspunsul lor apărând o modalitate mai bună de colaborare în acest tip de situație.
La Microsoft consideră că strategia urmată de Google este greșită de a avea o echipă de cercetare să găsească vulnerabilități în produsele concurente, adăugând presiune cu un termen limită pentru ca acestea să fie soluționate și amenințarea cu publicarea în cazul în care se depășește. Nu toate vulnerabilitățile reprezintă același nivel de amenințare și adesea nu au o soluție rapidă sau aplicarea lor este mai mult sau mai puțin complicată, așa că stabilirea unei numărătoare inversă pentru publicarea lor nu este cea mai bună modalitate de a încuraja soluția lor.
De la Redmond să susțină mai mult ca cercetătorii să alerteze în mod privat companiile despre potențialele vulnerabilități și să lucreze cu ele la o remediere fără a impune limite temporare sau amenință publicare.
Via | Microsoft
