Microsoft unzufrieden mit Googles Ankündigung über Windows-Fehler

Microsoft hat vor kurzem geäußert, ihren Unmut über wie Google Informationen über eine Sicherheitsanfälligkeit in Windows veröffentlicht hat. Nach koordinierten Vulnerability Disclosure (CVD) sollte Sicherheitsexperten Microsoft eine Möglichkeit, Schwachstellen erkannt, bevor sie der Öffentlichkeit die Offenlegung zu beheben geben. Microsoft behauptet, dass sie versuchen zu versorgen ihre Kunden mit qualitativ hochwertigen Updates und die Kunden vor Angriffen schützen, während die Aktualisierung erstellt wird.

Es wird vermutet, dass fördert die vollständige Offenlegung Softwarehersteller Schwachstellen schneller beheben und Kunden zu Schutzmaßnahmen zu ergreifen. Allerdings Microsoft widerspricht dieser Glaube und legt nahe, dass die Veröffentlichung neue Cyber-Attacken auslösen kann.

Das Unternehmen hat geäußert, ihre Unzufriedenheit und die Anforderung, dass Forscher privat sie über Schwachstellen erkannt informieren und Freigabe von Informationen zu dem Problem nur, wenn eine Korrektur vorgenommen wurde. Chriz Betz, senior Director der Microsoft Security Response Center, glaubt, dass Forscher und Softwarehersteller müssen zusammenarbeiten, bis ein Update freigegeben ist und argumentiert, dass diese Partnerschaft sehr förderlich für Kunden ist.

Die Veröffentlichung der Informationen über den Fehler gilt als eine Situation in dem Kunden in Gefahr bringen werden. Chriz Betz glaubt, dass Google nicht unbedingt gleich bei ihren Entscheidungen.

Google veröffentlicht Informationen über einen Fehler zwei Tage vor der geplanten Klemme, die trotz Microsofts bitte um die Details zu der Frage anzeigen zu vermeiden. Insbesondere wurde es aufgefordert, die Informationen der Öffentlichkeit bis 13. Januar 2015, zu verweigern, wenn das Update freigegeben werden mussten. Microsofts Ansatz ist, dass das Hauptaugenmerk auf die Kunden Schutz, aber sie keine größere Gefahr auszusetzen sein sollte. Chriz Betz argumentiert, dass sie nicht versuchen würde, die Konkurrenz unter Druck setzen, nachdem einige Mängel in ihren Produkten ein.

Die Offenlegung machte das Project-Zero Team, die Code erforderlich, um Fehler ausnutzen ausgewiesen. Dies erfolgte nach der Ausstellung der betroffenen Unternehmen mit einer Frist zur Behebung von Problemen. Wie die Sicherheitsanfälligkeit nicht innerhalb von 90 Tagen behoben wurde, wurde Informationen zu dem Problem mitgeteilt.

Letzte Woche wurde berichtet, dass Microsofts Advanced Notification Service (ANS), die erstellt wurde, als noch vor 10 Jahren wie Teil des Patch-Dienstag für die Kommunikation über Microsoft updates, nicht mehr für die Öffentlichkeit zugänglich ist. Das bedeutet, dass ANS Informationen über einen Blog-Eintrag oder eine Website nicht verfügbar sind. Änderungen sollen durch Kunden-Feedbacks umgesetzt werden, ANS Nein mehr in der gleichen Weise wie in der Vergangenheit verwendet wird was bedeutet, dass die überwiegende Mehrheit der Kunden warten, Update Dienstag, so dass Updates automatisch installiert. Informationen zu Sicherheitsupdates werden nur für Kunden verfügbar, die bezahlten Premier Verträge unterstützen.