Microsoft は Google と Windows 8.1 の脆弱性の公開に不満を持っています

おさらいしましょう。昨年の夏、Google は「Project Zero」と呼ばれる研究グループの設立を発表しました。これは、自社または他社のソフトウェアのセキュリティ問題を検出して警告することを担当しています。 9 月 30 日、このチームは Microsoft に Windows 8.1 の脆弱性 が存在することを警告しました。これは、レドモンドの人々が完全に公開する前に問題を解決するための 90 日間の時間制限の通知を添付することによって行われました。

後者は先週起こったことです。 Microsoft が修正を完了できなかった 90 日後、 脆弱性は Google の研究グループによって公開され、 誰もがその脆弱性について知り、その方法を詳しく説明できるようになりました悪用される可能性があります。彼らがすでに解決策に取り組んでいたレドモンドでは、それは好まれていませんでした. Microsoft Security Response Center (MSRC) のシニア ディレクタである Chris Betz が、Mountain View の人々の行動を後悔し、両社のセキュリティ チーム間の理解を深めるよう呼びかけるメモを公開することを決定したことは、ほとんど好感を持たれませんでした。

Betz は、この問題における Google のパフォーマンスに非常に批判的です。どうやら、レドモンドの は「プロジェクト ゼロ」チームに裁定の公開を 1 月 13 日まで遅らせるように依頼していたようです その時点で、彼らはソリューションを配布する予定でした。その有名な火曜日のパッチ。残念なことに、マウンテン ビューの人々は要求に応じませんでした。このような状況で協力するためのより良い方法を擁護する彼らの対応の動機となったのです。

Microsoft では 彼らは Google が従う戦略は間違っていると考えている 研究チームに競合製品の脆弱性を見つけさせ、次のようなプレッシャーを与えているそれらが解決されるまでの時間制限と、それを超えると公開すると脅迫するものです。すべての脆弱性が同じレベルの脅威をもたらすわけではなく、多くの場合、迅速な解決策がないか、アプリケーションが多かれ少なかれ複雑です。そのため、公開のカウントダウンを設定することは、解決策を促す最善の方法ではありません.

レドモンドから 研究者が潜在的な脆弱性の企業に非公開で警告することをもっと提唱する 一時的な制限や脅迫的な制限を要求することなく修正に取り組む出版.

Via |マイクロソフト