Microsoft nije zadovoljan Googleom i objavom ranjivosti u sustavu Windows 8.1

Da rezimiramo. Google je prošlog ljeta najavio formiranje istraživačke grupe pod nazivom 'Project Zero' zadužene za otkrivanje i upozoravanje na sigurnosne probleme u svom softveru ili softveru drugih tvrtki. Ovaj je tim 30. rujna upozorio Microsoft na postojanje ranjivosti u sustavu Windows 8.1 koja bi mogla omogućiti trećim stranama da steknu kontrolu nad operativnim strojem sa sustavom Windows 8.1. To je učinio tako što je priložio obavijest o 90-dnevnom roku za one u Redmondu da ga riješe prije nego što ga u potpunosti objave.

Potonje se dogodilo prošli tjedan. Nakon tih 90 dana bez da je Microsoft uspio završiti s popravljanjem Googleova istraživačka grupa ranjivost je objavila , dopuštajući svima da znaju za nju i s detaljima kako moglo biti iskorišteno. To se nije svidjelo u Redmondu, gdje su već radili na rješenju. Toliko se malo svidjelo da je Chris Betz, viši direktor u Microsoft Security Response Center (MSRC), odlučio objaviti bilješku u kojoj žali zbog postupka onih iz Mountain Viewa i poziva na bolje razumijevanje između sigurnosnih timova kompanija.

Betz je vrlo kritičan prema Googleovoj izvedbi po tom pitanju. Navodno bi iz Redmonda zamolio tim 'Project Zero' da odgodi objavljivanje presude do 13. siječnja, kada su planirali distribuirati rješenje putem svoje dobro poznate zakrpe utorkom.Nažalost, oni iz Mountain Viewa nisu udovoljili zahtjevu i to je motiviralo njihov odgovor braneći bolji način suradnje u ovakvoj situaciji.

U Microsoftu smatraju da je strategija koju slijedi Google pogrešna da istraživački tim pronađe ranjivosti u konkurentskim proizvodima, povećavajući pritisak vremenski rok za njihovo rješavanje i prijetnju da će ga objaviti ako se prekorači. Ne predstavljaju sve ranjivosti istu razinu prijetnje i često nemaju brzo rješenje ili je njihova primjena više ili manje komplicirana, pa odbrojavanje do njihove objave nije najbolji način da se potakne njihovo rješavanje.

Iz Redmonda zagovara više za istraživače da privatno upozoravaju tvrtke na potencijalne ranjivosti i rade s njima na popravku bez traženja privremenih ili prijetećih ograničenja objavljivanje.

Preko | Microsoft