Google и Microsoft снова теряют голову над решением первого раскрыть критическую уязвимость через несколько дней после предупреждения Microsoft. Подробно в блоге безопасности Google , раскрытие относится к уязвимости за 0 дней (то есть она не была публично описана ранее), которая может привести к повышению привилегий. Первоначально об ошибке было сообщено Microsoft 21 октября, а Google публично объявил об этой уязвимости всего десять дней спустя, прежде чем Microsoft смогла выпустить патч.
Обновление: Терри Майерсон из Microsoft написал статью под названием «Наша приверженность безопасности наших клиентов», в которой более подробно рассказывается об уязвимости и реакции Microsoft на раскрытие информации со стороны Google. Важно отметить, что Майерсон отмечает, что «клиенты, использующие Microsoft Edge в Windows 10 Anniversary Update, как известно, защищены от версий этой атаки, наблюдаемой в дикой природе». , который занимает немного жало.
Обращаясь к VentureBeat , Microsoft выразила кажущееся разочарование по поводу выбора Google отложить задержку публичного раскрытия информации, чтобы дать Microsoft время для устранения этой ошибки:
«Мы верим в скоординированное раскрытие информации об уязвимостях, а сегодняшнее раскрытие со стороны Google ставит клиентов под потенциальный риск», — заявил VentureBeat представитель Microsoft. «Windows является единственной платформой, на которой заказчик обязуется расследовать обнаруженные проблемы безопасности и активно обновлять уязвимые устройства как можно скорее. Мы рекомендуем клиентам использовать Windows 10 и браузер Microsoft Edge для лучшей защиты».
Microsoft и Google ранее проводили публичную войну слов в январе 2015 года, когда Google аналогичным образом раскрыл критическую уязвимость в Windows 8.1 всего за два дня до того, как запланированный патч был опубликован. В этом случае Google опубликовал подробные сведения об этой уязвимости в соответствии со своей обычной политикой раскрытия информации, несмотря на просьбу Microsoft о задержке. В своем блоге в то время Крис Бетц из Центра безопасности Microsoft выразил подобное разочарование, заявив:
Несмотря на то, что соблюдение объявленных Google сроков раскрытия информации остается верным, решение выглядит не так, как принципы, а скорее как «уловка», с клиентами, которые могут пострадать в результате. Что правильно для Google, не всегда подходит для клиентов. Мы призываем Google сделать защиту клиентов нашей основной целью.
По словам Google, недавно обнаруженная уязвимость активно эксплуатируется, что привело к ее решению опубликовать подробности ошибки как можно раньше.
Мы можем заработать комиссию за покупки, используя наши ссылки. Узнайте больше