Insatisfeito com o anúncio do Google sobre o bug do Windows Microsoft

Microsoft recentemente expressou seu descontentamento de como o Google liberou informações sobre uma vulnerabilidade no Windows. De acordo com divulgação de vulnerabilidade coordenada (CVD), pesquisadores de segurança devem dar Microsoft a possibilidade de corrigir vulnerabilidades detectadas antes de divulgá-los ao público. Microsoft afirma que pretende oferecer aos clientes as atualizações de alta qualidade e proteger os clientes contra ataques mal-intencionados, enquanto a atualização está sendo criada.

Acredita-se que a divulgação completa incentiva fornecedores de software para corrigir vulnerabilidades mais rapidamente e os clientes a tomar medidas de protecção. No entanto, a Microsoft não concorda com esta crença e sugere que a divulgação pública pode desencadear novos ataques cibernéticos.

A empresa manifestou a sua insatisfação e solicitar que os pesquisadores em particular informá-los sobre as vulnerabilidades detectadas e divulgar informações sobre o assunto apenas quando uma correção foi feita. ChriZ Betz, diretor sênior do centro de resposta de segurança da Microsoft, acredita que os pesquisadores e fornecedores de software tem que colaborar até que uma correção é liberada e argumenta que esta parceria é altamente benéfica para os clientes.

A liberação das informações sobre o bug tem sido considerada como uma situação em que os clientes são postos em perigo. ChriZ Betz acredita que o Google não é necessariamente certo com suas decisões.

Google liberou informações sobre um bug, dois dias antes de uma correção planejada, o que foi feito, apesar do pedido da Microsoft para evitar revelar os detalhes sobre a questão. Especificamente, foram solicitadas para reter a informação do público até 13 de janeiro de 2015, quando a correção teve de ser lançado. A abordagem da Microsoft é que o foco principal deve ser em fornecer aos clientes com proteção, mas não, expondo-os a um perigo maior. ChriZ Betz argumenta que eles não tentariam a exercer pressão sobre os concorrentes, após detectar algumas falhas em seus produtos.

A divulgação foi feita pela equipe do projeto Zero, que divulgou o código necessário para explorar bugs. Isto foi feito após a emissão de empresas afetadas com um prazo para corrigir problemas. A vulnerabilidade não foi fixada no prazo de 90 dias, foi divulgada informação sobre a questão.

Na semana passada foi noticiado que notificação serviço ANS a Microsoft (Advanced), que foi criado do que há 10 anos, como parte do Patch terça-feira para comunicar sobre Microsoft atualiza, já não está disponível ao público. Isso significa que a ANS informações não estarão disponíveis através de um post de blog ou site. As alterações são disse a ser implementados devido a feedbacks dos clientes que a ANS já não é usado da mesma forma como no passado, o que significa que a grande maioria dos clientes Aguarde atualização terça-feira, permitindo atualizações instalar automaticamente. Informações sobre atualizações de segurança estará disponíveis apenas para clientes que têm pago Premier contratos de suporte.