Insoddisfatto con l'annuncio di Google di bug di Windows di Microsoft

Microsoft ha recentemente espresso il loro dispiacere di come Google ha rilasciato informazioni sulle vulnerabilità di Windows. Secondo la divulgazione coordinata vulnerabilità (CVD), i ricercatori di sicurezza dovrebbero dare Microsoft una possibilità per correggere le vulnerabilità rilevate prima della loro divulgazione al pubblico. Microsoft afferma che essi cercano di fornire ai loro clienti con aggiornamenti di alta qualità e proteggere i clienti da attacchi dannosi, mentre l'aggiornamento è stato creato.

Si è creduto che compattato incoraggia i fornitori di software per correggere le vulnerabilità più velocemente e i clienti a prendere misure di protezione. Tuttavia, Microsoft non è d'accordo con questa convinzione e suggerisce che la divulgazione pubblica possa innescare nuovi attacchi informatici.

L'azienda ha espresso la loro insoddisfazione e la richiesta che i ricercatori privatamente informano sulle vulnerabilità rilevata e rilasciare informazioni sul problema solo quando è stata fatta una correzione. Chriz Betz, senior director del centro Microsoft Security Response, ritiene che i ricercatori e i fornitori di software di collaborare fino a quando una correzione viene rilasciata e sostiene che questa partnership è di grande benefica per i clienti.

Il rilascio delle informazioni riguardo il bug è stato considerato come una situazione in cui i clienti sono messi in pericolo. Chriz Betz crede che Google non è necessariamente giusto con le loro decisioni.

Google ha rilasciato informazioni su un bug due giorni prima di una correzione prevista, che è stato fatto nonostante la richiesta di Microsoft per evitare di rivelare i dettagli sul problema. In particolare, è stato chiesto di trattenere le informazioni dal pubblico fino al 13 gennaio 2015, quando la correzione doveva essere rilasciato. Approccio di Microsoft è che l'obiettivo primario dovrebbe essere sul fornire ai clienti con protezione ma non esporli a un pericolo maggiore. Chriz Betz sostiene che non cercano di esercitare pressioni sui concorrenti, dopo aver rilevato alcuni difetti nei loro prodotti.

La divulgazione è stata fatta dal team di progetto Zero, che ha rilevato il codice necessario per sfruttare il bug. Questo è stato fatto dopo l'emissione di aziende interessate con una scadenza per risolvere i problemi. Come la vulnerabilità non è stata fissata entro 90 giorni, è stati divulgati informazioni sul problema.

La scorsa settimana è stato riferito che Advanced Notification Service (ANS di Microsoft), creato oltre 10 anni fa come parte della Patch martedì per comunicare su Microsoft aggiornamenti, non è più disponibile al pubblico. Ciò significa che le informazioni ANS non sarà disponibile attraverso un post sul blog o sito Web. Le modifiche sono detto di essere attuato a causa del feedback clienti che ANS non è più utilizzato nello stesso modo come in passato, significa che la stragrande maggioranza dei clienti attesa aggiornamento martedì, che permette di installare automaticamente gli aggiornamenti. Informazioni sugli aggiornamenti di sicurezza sarà disponibile solo per i clienti che hanno pagato Premier contratti di assistenza.