Microsoft критикует подход Google к исправлениям ошибок безопасности

19.10.2017 18:47 54

Microsoft критикует подход Google к исправлениям ошибок безопасности

Команда Microsoft по безопасности Windows не была довольна Google за последний год. В то время как пара является конкурентами по ряду причин, Google раскрыла серьезную ошибку Windows, прежде чем Microsoft была готова исправить ее в прошлом году. Это раздражало компанию настолько, что главный редактор Windows Терри Майерсон написал сообщение в блоге, критикуя Google за то, что он не раскрывает уязвимости безопасности ответственно.

Microsoft обнаружила удаленную уязвимость Chrome в прошлом месяце и теперь демонстрирует, что она считает ответственным раскрытием. В новом сообщении в блоге сотрудники службы безопасности Windows Microsoft излагают проблему с удаленным кодом в Chrome и критикуют подход Google к исправлениям безопасности. «Мы ответственно раскрыли обнаруженную нами уязвимость вместе с надежным удаленным эксплойтом для выполнения кода в Google 14 сентября 2017 года», - объясняет Джордан Рабет, член команды Microsoft Offensive Security Research. Google исправил проблему в течение недели в своих бета-версиях Chrome, но стабильный и общедоступный канал «оставался уязвимым почти месяц».

Обычно это не проблема для большинства программных патчей, но Microsoft критикует подход Google к тому, чтобы исходный код для исправления, доступный в Github, был выше стабильного исправления канала. Это дало нападавшим месяц, чтобы обнаружить недостаток. Rabet называет это «проблематичным, когда уязвимости становятся известными злоумышленникам перед доступными исправлениями».

Несмотря на эти ухищрения, длинный и подробный блог Microsoft напоминает о том, как индустрия узнает о своей позиции по раскрытию патчей безопасности. Microsoft не раз обращала внимание на эту возможность, отметив, что она раскрыла ошибку Chrome в частном порядке и что она будет продолжать делать это, чтобы продвигать свой подход во всей отрасли.

Google подвергся критике за свой подход к раскрытию уязвимостей, что позволяет инженерам разглашать подробности через семь дней после того, как они сообщаются поставщикам. Поисковый гигант регулярно находит и раскрывает проблемы безопасности в программном обеспечении Microsoft, а иногда публикует детали до того, как продукты будут исправлены. Именно этот подход сильно разозлил Microsoft, и ясно, что компания будет использовать любую возможность, чтобы ответить Google.