Microsoft вчера устроила публичную порку Google за раскрытие информации об уязвимости в системе безопасности ОС Windows. И это всего за несколько дней до выпуска патча, который должен залатать эту дыру. Блог Technet BlogPost призывал к более согласованным действиям при раскрытии уязвимостей.

На самом деле, данная стычка стала решающим боем между двумя технологическими гигантами по поводу правил раскрытия информации об ошибках и философии безопасности. Microsoft считает, что уязвимости в системе безопасности не должны быть обнародованы до того момента, когда компания не выпустит патч к ним. Google, с другой стороны, придерживается политики публикации уязвимостей через 90 дней после уведомления компании в ПО которой обнаружена ошибка.

Все просто: одна компания дает другой компании время на устранение ошибок и не публикует подробности до ее устранения. Но тут же возникает другой этический вопрос, который обсуждается в компьютерном сообществе: так называемое ответственное раскрытие уязвимости и публичная огласка.

«В пользу полной публичной огласки лежит мнение, что такой метод мотивирует разработчиков ПО устранять уязвимости оперативно, а пользователей – принимать меры, чтобы защитить себя», – говорит Крис Бетц, старший директор информационного центра по безопасности Microsoft. «Мы не согласны. Обнародование такой информации без контекста или готовых шагов по устранению этой угрозы ведет к ухудшению и без того сложной обстановки в компьютерном сообществе».

Microsoft считает, что публикация подобной информации до выхода патча, может полечь за собой увеличение активности злоумышленников.

В этот раз Google опубликовала подробности уязвимости всего за несколько дней до выхода очередных обновлений в рамках традиционного Patch Tuesday.

«Мы попросили Google попридержать информацию до вторника, 13 января – дня, когда мы должны были выпустить обновление», – говорит Бетц. «Хотя Google и соблюла свои стандарты по времени раскрытия уязвимости, ситуация выглядит больше ни как соблюдение формальностей, а как «Попались!»».

Threatpost связался с Google, но поисковик не откликнуться на их просьбу о комментарии.

BlogPost написал, что «Microsoft занималась тем же 10 лет назад, а теперь жалуется, что Google делает это сегодня».
Десятилетие назад Microsoft установил свои правила обнародования уязвимостей. На нее работали лучшие специалисты по безопасности, она разработала большинство платформ и теперь различные компании зависят от Microsoft в том числе в плане компьютерной безопасности.
«Microsoft больше не правит балом, она не в силах никого запугать. Теперь Google устанавливает стандарты в этой отрасли. Они хотят публиковать описание уязвимостей через 90 дней после уведомления разработчика, несмотря на то, была она исправлена или нет. Они так же применяют этот стандарт к себе».

Google современная и гибкая компания, которая способна уложиться в 90 дней. Microsoft, напротив, медленная и неповоротливая, неспособна оперативно реагировать на изменяющуюся действительность, поэтому ей тяжело действовать в новых условиях.

«Я поржал читая официальный ответ Microsoft, высоким стилем объясняющий, почему Google плохая, а Microsoft следует предоставлять больше времени на устранение ошибок,» – написал Роберт Грэхэм в Errata Security.

Поскольку Microsoft не успевает следовать за меняющимся рынком, ей остается только ныть по поводу своей нерасторопности. Так как Microsoft не собирается меняться, она будет пытаться изменить общественное мнение о Google в худшую сторону.

Александра Соболева, getbug.ru (c)