Microsoft ontevreden met Google aankondiging over Windows bug

Microsoft heeft onlangs te kennen gegeven hun ongenoegen van hoe Google heeft vrijgegeven informatie over een beveiligingsprobleem in Windows. Volgens gecoördineerde beveiligingslek openbaarmaking (CVD), moeten zekerheidstelling onderzoeker geven Microsoft een mogelijkheid om op te lossen kwetsbaarheden ontdekt voordat onthullen ze aan het publiek. Microsoft stelt dat ze willen hun klanten voorzien van kwalitatief hoogwaardige updates en de klanten te beschermen tegen kwaadwillige aanvallen terwijl de update wordt gemaakt.

Het is van mening dat volledige openbaarmaking moedigt softwareleveranciers om kwetsbaarheden meer snel vast te stellen en klanten om beschermende maatregelen te nemen. Echter, Microsoft is het niet eens met dit geloof en suggereert dat openbaarmaking leiden nieuwe cyberaanvallen tot kan.

Het bedrijf heeft geuit hun ontevredenheid en verzoek dat onderzoekers particulier hen over kwetsbaarheden ontdekt informeren en vrijgeven van informatie over het probleem alleen als er een correctie heeft aangebracht. Chriz Betz, hogere directeur van het Microsoft Security Response-centrum is van mening dat onderzoekers en softwareleveranciers hebben om samen te werken totdat een oplossing is vrijgegeven en betoogt dat dit partnerschap zeer heilzaam voor klanten is.

De release van de informatie over het insect is beschouwd als een situatie waarin zijn klanten in gevaar wordt gebracht. Chriz Betz is van mening dat Google niet noodzakelijkerwijs goed met hun beslissingen is.

Google vrijgegeven informatie over een bug twee dagen vóór een geplande vast te stellen, die werd gedaan ondanks Microsofts verzoek om te voorkomen dat de details over de kwestie onthullen. Specifiek, werden zij gevraagd om te houden van de informatie van het publiek tot 13 januari 2015, wanneer de correctie moest worden vrijgegeven. Microsofts aanpak is dat de primaire focus op klanten te voorzien van bescherming maar niet zij worden blootgesteld aan een groter gevaar moet zijn. Chriz Betz stelt dat ze niet proberen zou druk uit te oefenen op concurrenten na het opsporen van sommige gebreken in hun producten.

De openbaarmaking was gemaakt door het team Project nul, die code vereist om misbruik van insecten te bekendgemaakt. Dit werd gedaan na de afgifte van getroffen bedrijven met een deadline om problemen te verhelpen. Het beveiligingslek is niet vastgesteld binnen 90 dagen, werd informatie over het probleem bekendgemaakt.

Vorige week werd gemeld dat Microsofts geavanceerde Notification Service (ANS), dat als onderdeel van Patch dinsdag voor communicatie over Microsoft updates dan 10 jaar geleden werd opgericht, niet langer beschikbaar voor het publiek is. Dat betekent dat ANS informatie niet zal beschikbaar zijn via een blogpost of website. Wijzigingen zouden worden uitgevoerd als gevolg van klanten feedback dat ANS niet langer wordt gebruikt op dezelfde manier als in het verleden, wat betekent dat de overgrote meerderheid van klanten wachten op Update dinsdag, waardoor updates automatisch installeren. Informatie over beveiligingsupdates is alleen beschikbaar voor klanten die hebben betaald Premier ondersteuning contracten.