„Microsoft“ nepatenkinta „Google“ ir „Windows 8.1“ pažeidžiamumo paskelbimu
Pakartokime. Praėjusią vasarą „Google“ paskelbė apie mokslinių tyrimų grupės „Project Zero“ sukūrimą, atsakingą už savo ar kitų įmonių programinės įrangos saugumo problemų aptikimą ir įspėjimą apie jas. Rugsėjo 30 d. ši komanda įspėjo „Microsoft“ apie pažeidžiamumą sistemoje „Windows 8.1“, kuri gali leisti trečiosioms šalims valdyti veikiančią „Windows 8.1“ mašiną. Ji tai padarė kartu su pranešimu apie 90 dienų terminą, skirtą Redmondo gyventojams, kad šis išspręstų, prieš paskelbdamas jį visiškai viešai.
Pastaroji buvo tai, kas baigėsi praėjusią savaitę. Po tų 90 dienų, kai Microsoft nesugebėjo baigti taisyti, pažeidžiamumą paviešino „Google“ tyrimų grupė, leisdama visiems apie tai sužinoti ir išsamiai paaiškindama, kaip tai padaryti. būtų galima išnaudoti. Tai nepatiko Redmonde, kur jie jau ieškojo sprendimo. Taip mažai patiko, kad Chrisas Betzas, „Microsoft“ saugumo reagavimo centro (MSRC) vyresnysis direktorius, nusprendė paskelbti pastabą, kurioje apgailestauja dėl Mauntin Vju atstovų veiksmų ir raginama geriau suprasti įmonių saugos komandas.
Betz labai kritiškai vertina „Google“ veiklą šiuo klausimu. Matyt, iš Redmond būtų paprašę „Project Zero“ komandos atidėti sprendimo paskelbimą iki sausio 13 d., tuo metu jie planavo išplatinti sprendimą per jos gerai žinomi antradienio pleistrai.Deja, žmonės iš Mauntin Vju neįvykdė prašymo ir tai paskatino jų atsakymą ginti geresnį bendradarbiavimo būdą tokioje situacijoje.
„Microsoft“ terminas, per kurį jie turi būti išspręsti, ir grasinama jį paskelbti, jei jis bus viršytas. Ne visi pažeidžiamumai kelia vienodą grėsmės lygį ir dažnai nėra greito sprendimo arba jų taikymas yra daugiau ar mažiau sudėtingas, todėl jų paskelbimo atgalinės atskaitos nustatymas nėra geriausias būdas skatinti jų sprendimą.
Per | Microsoft
