מיקרוסופט לא מרוצה מגוגל ומהפרסום של פגיעות ב-Windows 8.1

בואו נסכם. בקיץ שעבר הודיעה גוגל על ​​הקמת קבוצת מחקר בשם 'פרויקט אפס' שאחראית על איתור והתראה על בעיות אבטחה בתוכנה שלה או של חברות אחרות. ב-30 בספטמבר, צוות זה התריע למיקרוסופט על קיומה של פגיעות ב-Windows 8.1 שעלולה לאפשר לצדדים שלישיים להשיג שליטה על מחשב Windows 8.1 הפועל. היא עשתה זאת בליווי ההודעה על מגבלת זמן של 90 יום עבור אלה ברדמונד לפתור אותה לפני הפיכתה לפומבי במלואה.

זה האחרון היה מה שהתרחש בסופו של דבר בשבוע שעבר. לאחר 90 הימים האלה מבלי שמיקרוסופט הצליחה לסיים לתקן אותה, הפגיעות פורסמה לציבור על ידי קבוצת המחקר של Google, ואפשרה לכל אחד לדעת עליה ולפרט כיצד היא יכול להיות מנוצל. זה לא אהב ברדמונד, שם כבר עבדו על פתרון. כל כך מעט אהבו שכריס בץ, מנהל בכיר במרכז התגובה האבטחה של מיקרוסופט (MSRC), החליט לפרסם פתק המצר על פעולתם של אנשי Mountain View וקורא להבנה טובה יותר בין צוותי האבטחה של החברות.

בץ ביקורתית מאוד על הביצועים של גוגל בנושא. ככל הנראה, מרדמונד היה מבקש מצוות 'פרויקט אפס' לעכב את פרסום פסק הדין עד 13 בינואר, אז הם תכננו להפיץ פתרון באמצעות תיקוני יום שלישי המוכרים שלו.למרבה הצער, אלה ממאונטיין וויו לא נענו לבקשה וזה הניע את תגובתם להגן על דרך טובה יותר לשתף פעולה במצבים מסוג זה.

במיקרוסופט רואים באסטרטגיה שגוגל נוקטת כשגויה בכך שצוות מחקר ימצא נקודות תורפה במוצרים מתחרים, תוך הוספת לחץ עם מגבלת זמן לפתרונם ומאיימת לפרסם אותה אם תחרוג ממנה. לא כל הפגיעות מהוות את אותה רמת איום ולעיתים קרובות אין להן פתרון מהיר או שהיישום שלהן מסובך יותר או פחות, כך שהקמת ספירה לאחור לפרסומן אינה הדרך הטובה ביותר לעודד את הפתרון שלהן.

מרדמונד לעודד חוקרים להתריע באופן פרטי לחברות על נקודות תורפה אפשריות ולעבוד איתם על תיקון בלי לדרוש מגבלות זמניות או מאיימות פרסום.

Via | Microsoft