12 января Microsoft раскритиковала Google за раскрытие бага в операционной системе Windows 8.1 за два дня до того, как компания собиралась его исправить,
пишет издание The Register. По мнению Microsoft, политика Google в отношении раскрытия информации об уязвимостях вредит пользователям .
Google анонсировала найденный баг 11 января,
описав его как возможность расширения привилегий пользователя в Windows 8.1 благодаря определенным манипуляциям в ходе авторизации в системе, пишет издание The Register.
Это не первый подобный случай. 30 декабря 2014 года Google
раскрыла другую уязвимость Windows 8.1, о которой сообщил Microsoft в сентябре 2014 года.
Как сообщает The Register, Google поступила так потому, что по правилам ее режима безопасности Project Zero, компания может сообщать об уязвимостях спустя 90 дней после того, как указала на них вендорам. В данном случае Microsoft была уведомлена 13 октября 2014 года.
Microsoft обвинила Google в безответственности, так как компания планировала решить эту проблему 13 января, и попросила Google не делать публичных заявлений о баге до этого момента.
«Мы попросили Google сотрудничать с нами ради защиты клиентов и не раскрывать деталей уязвимости, которую планировали исправить, до 13 января», — написал в блоге компании директор центра реагирования MSRC компании Microsoft Крис Бетц.
Бетц обвиняет Google в навязывании 90-дневного режима раскрытия информации, чтобы «раздражать» Microsoft, и считает, что её заявления больше похожи не на принципиальную позицию, а на попытки «покрасоваться», которые заканчиваются вредом для пользователей.
То, что подходит для Google, не всегда подходит для пользователей. Мы призываем Google сделать защиту клиентов нашей общей приоритетной целью.
Крис Бетц предложил Google и другим компаниям подписать договор Coordinated Vulnerability Disclosure, регламентирующий условия раскрытия найденных уязвимостей.
«Мы считаем, что было бы неверно с нашей стороны привлекать специалистов к поиску уязвимостей в продуктах конкурентов, указывая, что их исправление должно быть проведено в определенные сроки, а затем публиковать информацию, которая может навредить пользователям», — написал Бетц. Также директор центра реагирования MSRC добавил, что все заинтересованные стороны должны работать вместе, чтобы «не дать плохим парням ни малейшего шанса на использование уязвимостей».
Политика и подходы, которые ограничивают или игнорируют возможности сотрудничества, не идут на пользу ни разработчикам, ни поставщикам программного обеспечения, ни клиентам. Это тот случай, когда проигрывают все.
— Крис Бетц
The Register отмечает, что в последний раз, когда произошла схожая ситуация, представитель компании Google Бен Хокс
написал, что политика 90-дневного периода должна ускорить процесс исправления багов. По мнению специалиста Google, если кто-либо воспользуется замеченной уязвимостью, её намного быстрее устранят.
«Забрав у вендора возможность скрыть информация об уязвимостях, мы даем пользователям шанс отреагировать на недостатки и потребовать ответа у поставщика», — отметил Хокс.
Microsoft явно не согласен с этим утверждением и заявленной выгодой пользователей, резюмирует The Register.
About the author
