Google frigiver exploit til Microsoft 0-dagssårbarhed efter frist på 90 dage

5. januar 2015 kl. 16:1814
En urokkelig deadline på 90 dage var, hvad Google gav Microsoft til at lukke et sikkerhedshul i Windows 8.1. Nu har Google frigivet kode til at udnytte sikkerhedshullet.
Artiklen er ældre end 30 dage

Google og Microsoft kan ikke ligefrem betegnes som slyngveninder i it-branchen, efter begge firmaer de seneste 10 år har forsøgt at fravriste hinanden markedsandele på deres respektive kerneområder. Nu har Microsoft fået kærligheden at føle fra Googles Project Zero, som leder efter sårbarheder i software.

Sikkerhedseksperterne hos Project Zero fandt i september 2014 et sikkerhedshul i Windows 8.1, som gjorde det muligt for en lokal bruger at få administratorrettigheder.

Project Zero opererer med en fast deadline på 90 dage, hvorefter sårbarheden bliver lagt frem i al offentlighed. Det har sikkerhedseksperterne således også gjort i dette tilfælde, inklusive exploit-kode der demonstrerer, hvordan man kan udnytte sikkerhedshullet.

Offentliggørelsen er vel at mærke sket, inden Microsoft har frigivet en opdatering, og det har skabt debat i sikkerhedskredse om, hvorvidt det er hensigtsmæssigt at operere med en fast deadline.

Artiklen fortsætter efter annoncen

Fortalerne på Googles side forsvarer denne praksis med, at det lægger et passende pres på leverandørerne, som ved præcis, hvor lang tid de har til at frigive en opdatering og ikke kan sylte henvendelsen fra sikkerhedseksperten.

Fra den anden side lyder argumentet, at 90 dage meget vel kan være en for kort deadline, hvis der er tale om en lidt obskur sårbarhed, som først skal verificeres, hvorefter en passende løsning skal findes og testes, før den rulles ud. Især testen kan være mere tidskrævende for leverandører som Microsoft, som potentielt skal distribuere opdateringen til en milliard brugere med meget forskellige konfigurationer.

Microsoft oplyser, ifølge ZDNet, at selskabet arbejder på en opdatering, men understreger, at det kræver lokal adgang til pc'en at udnytte sikkerhedshullet. Google oplyser tilsvarende, at selskabet står fast på 90 dages deadline, men løbende holder øje med, om det er nødvendigt at justere den.

14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
13
6. januar 2015 kl. 17:57

Hvis hullet er offentliggjort med nok detaljer til at brugerne kan tage deres egne forholdsregler, så er det også offentliggjort med nok detaljer til at angribere kan udnytte det. Når først man er nået dertil, så er der ikke megen grund til at holde sig tilbage med detaljerne.

7
6. januar 2015 kl. 15:45

Er jeg den eneste der synes, at det er helt og aldeles urimeligt, at Google skal gøre sig til dommer over Microsofts prioriteringer? Man kan være uenig med Microsoft og synes alt muligt om dem, men det moralske kompas er da helt skævt, når Google med vilje offentliggøre skadelig kode?

Det er vel det samme som den her: Du har tabt din nøgle til dit hus. Skift alle dine låse inden kl. 12 i morgen, ellers kopierer jeg nøglen og giver den til hele byen med oplysninger om hvor du bor.

14
6. januar 2015 kl. 18:23

Er jeg den eneste der synes, at det er helt og aldeles urimeligt, at Google skal gøre sig til dommer over Microsofts prioriteringer?

I min optik gør det absolut ingen forskel om det er Google eller en studerende fra Handelsoperaen i Sakskøbing.

Microsoft har lov til at prioritere præcist som de har lyst til, og det har de naturligvis gjort.

Microsoft har f.eks haft masser af tid og penge til at finde den fejl inden de sendte programmet på markedet.

At de ikke fandt den handler alene om deres egen prioritering.

Og 90 dage er utroligt generøst for branchen, I FOSS bliver vi ofte mødt med "Vi releaser det her om syv dage."

10
6. januar 2015 kl. 16:53

Det er vel det samme som den her: Du har tabt din nøgle til dit hus. Skift alle dine låse inden kl. 12 i morgen, ellers kopierer jeg nøglen og giver den til hele byen med oplysninger om hvor du bor.

Jeg mener ikke at denne analogi er god.

I ovenstående scenarie er mit hus sårbart over for dit angrib medmindre jeg går ind på dine krav. først og fremmest vil jeg ofte opdage at jeg har tabt nøglen og mit hus derfor er sårbart og for det andet er der er det kun dig huset er sårbart overfor indtil du kopierer nøglen.

I tilfældet af et sikkerhedshul er alles huse sårbare over for angreb fra vilkårlige personer, men indtil sikkerhedshullet er offentliggjort er det som husejer ikke muligt at opdage at man har tabt sin nøgle og derfor er sårbar. Desuden kan sikkerhedshullet være opdaget af flere uafhængigt af hinanden, derfor er er mit hus allerede i risikozonen inden udløbet af tidsfristen.

For det andet så læser jeg også din sammenligning som en antydning af at selve tidsfristen er irrelevant. Det bedste udfald er at producenten (Microsoft) kommer med en rettelse af høj kvalitet, men hvis det ikke er muligt er det bedre at jeg som bruger har mulighed for at sikre mig på anden vis end at jeg bliver efterladt sårbar i uvidenhed. Dette er en balancegang og spørgsmålet er om 90 dages hemmeligholdelse er passende og om producenten skal kunne få (begrænset) udsættelse.

Ud over hvor lang tid et sikkerhedshul skal holdes hemmeligt kan det diskuteres hvor godt beskrevet sikkerhedshullet skal være før producenterne og brugerne skal kunne tage det seriøst. Man kan godt argumentere for at sikkerhedshuller kun skal beskrives i vage formuleringer så det kræver kendskab til kildekoden at forstå beskrivelsen, men som bruger har jeg tidligere haft stor glæde at konstruktivt at kunne afprøve om mit system var sårbar over et konkret sikkerhedshul.

Kort sagt mener jeg at Google har handlet efter bedste praksis, men er der muligvis er plads til at handle lidt mere pragmatisk i forhold til hvornår sikkerhedshullet er offentliggjort (at vente 5 dage til efter nytår havde ikke ændret risikovurderingen meget) og eventuelt vetet til hvis Microsoft havde en rettelse af høj kvalitet sammen såfremt Microsoft havde givet udtryk for at en rettelse var under vejs.

12
6. januar 2015 kl. 17:37

Tak for kommentarerne.

Problemet skal ikke være hemmeligt - det er vi helt enige om. Og fristen bør vel skal svare til alvorligheden, og så kan 90 dage jo være meget eller lidt tid.

Jeg synes problemet er, at Google vælger at offentliggøre exploit-koden.

For så er det nemlig HELT sikkert, at alle ved hvordan de kan udnytte sikkerhedshullet. Det er dén logik, jeg ikke forstår.

Hvorfor skal jeg som slutbruger tages som gidsel? Hvis ikke Microsoft retter op på fejlen og får sikret min PC (hvad de naturligvis bør gøre asap), så har Google lige gjort mig til offer ved at fortælle hele verden hvordan de kan bryde ind i min computer. Tak for lort, Google (og Microsoft).

4
6. januar 2015 kl. 15:07

Selv blandt ærlige firmaer findes der brådne kar, så mon ikke det går forholdsvist hurtigt, før end hackerne har fundet ud af at der er en sårbarhed de kan udnytte. Det er jo bare en lille læk fra det firma der har fundet sårbarheden ?

Så 90 dage er vel i den sammenhæng rigeligt til at få gjort noget ved sagen, selvom det selvfølgelig ikke altid er "bare lige".

2
6. januar 2015 kl. 12:43

Det er blaster ormen om igen. Der fik MS også rigeligt med tid, til at få lappet hullet. Der blev først gjort noget ved det da ormen havde indtaget halvdelen af klodens Windows PC'ere... /facepalm

1
6. januar 2015 kl. 11:37

Du får de 3 måneder, skal de have et halvt eller et helt år. Eller så lang tid, at vi har en ny version og skider på dem som ikke køber den.

3 Måneder er langt tid hvis man tager sikkerhed seriøs, og er villigt til at bruge resurser.
Verificeres og vigtighed kan nok også hurtigt klares, når man kender kilden til fejlen. Og man formoder den er godt dokumenteret, hvad den jo er når der også kommer inklusive exploit-kode der demonstrerer, hvordan man kan udnytte sikkerhedshullet.

Altså fra et seriøs firma som tager sikkerhed alvorligt, og aldrig har mistet en mail.

Så jeg synes 3 måneder er langt tid, måske for meget, men hvis hullet skal med i den månedlige rettelse og skal testes inden, så måske rimeligt

3
6. januar 2015 kl. 12:46

Så jeg synes 3 måneder er langt tid, måske for meget, men hvis hullet skal med i den månedlige rettelse og skal testes inden, så måske rimeligt

Er der nogen der har fundet noget om hvordan Microsoft har reageret?

Jeg har set noget om at fejlen er blevet oprettet i en af Microsofts fejldatabaser, men har de på anden måde reageret? Hvis producenten samarbejder, men ikke kan nå at producere en rettelse af en tilfredsstillende kvalitet, så mener jeg ikke at man skal holde sig i en stram 90 dages deadline, men hvis producenten ikke samarbejder så mener jeg at en 90 dages deadline er et fornuftigt kompromis mellem hurtigt at advare folk og at give producenterne tid til at arbejde.

11
6. januar 2015 kl. 17:18

"Offentliggørelsen er vel at mærke sket, inden Microsoft har frigivet en opdatering," @Peter Makholm

3 måneder er meget langt tid til at lukke et sikkerheds hul. Men MS er jo vandt til at have huller og bagdøre åben i lang tid. Så svare er vel JA, MS er ikke klar på at handle hurtigt. Ellers var denne artikel jo ikke relevant, hullet var lukket.