Microsoft revser Google efter tidlig afsløring af 0-dagssårbarhed

Google offentliggjorde et sikkerhedshul i Windows 8.1 kort tid før Microsoft ville lukke det. Søgegiganten ignorerede forespørgsel om to dages ekstra frist.

90 dage er, hvad Google giver selskaber til at rette i software, når søgegiganten finder fejl og sårbarheder. Og det er tilsyneladende ikke en deadline, man afviger fra.

Microsofts frist til at få lukket et sikkerhedshul i Windows 8.1, der lader en bruger tiltuske sig administratorrettigheder, udløb søndag, og Google gjorde som lovet og frigav softwarefejlen. Til trods for at Microsoft havde bedt om to dages ekstra frist – indtil tirsdag hvor en opdatering bliver sendt ud. Det skriver BBC.

Googles Project Zero har til formål at finde huller i udbredte stykker software. Den omstridte 90-dagsfrist har til formål at tvinge selskaberne til at reagere og ikke sylte sikkerhedshuller.

Microsoft havde dog reageret på Googles advarsel. Fejlen bliver angiveligt rettet i en opdatering tirsdag – to dage efter deadline, hvilket altså ikke var godt nok til Google.

»Selvom de holder sig til Googles annoncerede tidsplan for offentliggørelsen, så føles beslutningen mindre som principper og mere som en ’gotcha’, hvor det er kunder, der lider under resultatet,« skriver Microsofts forskningschef, Chris Betz, i en blog.

»Hvad der er rigtig for Google, er ikke altid rigtigt for kunder. Vi tilskynder Google til at gøre kundebeskyttelse til vores fælles primære mål,« forsætter Chris Betz.

BBC har ikke fået en kommentar fra Google.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bent Jensen

Version2 , nu er det anden gang vi får samme nyhed.
Måske med den tvist den burde være leveret med første gang.

Hvis i ikke kan finde noget nyt at skrive om, kan i så ikke bruge lidt mere tid på dem i laver. Så som at følge op, måske med en Dansk vinkel.
Så i ikke bare oversætte udenlandske artikler, eller bringer PR nyhedsbreve om produkter fra forskellige firma.

http://www.version2.dk/artikel/google-frigiver-exploit-til-microsoft-0-d...

Fik i så mange "klik" på den anden reportage at i prøver igen.

  • 1
  • 7
Morten Saxov

Så 30 dage... dvs. fra du får en bug report, til du får den prioriteret, kørt op mod andre rettelser der er i scope. Debugget, rettet, verificeret rettelsen virker, verificeret om fejlen findes i andre versioner af produktet end de indmeldte, verificeret at rettelsen ikke har impact på anden funktionalitet der benytter samme komponenter, og at rettelsen ikke har impact på andre versioner af produktet.

Dette kan være let nok med et buffer overrun, men andre rettelser kan være mere komplekse. Plus muligheden for at der ikke er daglige builds til test, osv.

Dertil kan man så diskutere at MS jo har en release policy der gør at alt der ikke er super-superkritisk kun bliver releaset 1 gang om måneden, vil gøre at en 30-dags periode er svær at nå for et mere komplekst setup der skal testes ordenligt.
For vi har jo allesammen set hvordan der falder brænde ned, når de har releaset et fix, der flækker Windows hvis du har Random AV-program X, util program Y, og bootmanipulater Z installeret.

  • 10
  • 2
Jesper Poulsen
  • 4
  • 3
Jesper Ravn

Ja, 90 dage er normalt en acceptabel deadline.
Men Microsoft bad om 2 dage mere, i henhold til deres velkendte Patch Tuesday.
Så er det da direkte dumt af Google, at ignorere dette. Det var jo ikke sådan, at Microsoft ikke havde en plan og ikke ville tage action på denne sårbarhed.

  • 5
  • 3
Jesper Ravn

Hvorfor vælger de en tirsdag som ligger efter de 90 dage?

A Call for Better Coordinated Vulnerability Disclosure
http://blogs.technet.com/b/msrc/archive/2015/01/11/a-call-for-better-coo...

Citat:
CVD philosophy and action is playing out today as one company - Google - has released information about a vulnerability in a Microsoft product, two days before our planned fix on our well known and coordinated Patch Tuesday cadence, despite our request that they avoid doing so. Specifically, we asked Google to work with us to protect customers by withholding details until Tuesday, January 13, when we will be releasing a fix. Although following through keeps to Google’s announced timeline for disclosure, the decision feels less like principles and more like a “gotcha”, with customers the ones who may suffer as a result. What’s right for Google is not always right for customers. We urge Google to make protection of customers our collective primary goal.

Patch Tuesday
http://searchsecurity.techtarget.com/definition/Patch-Tuesday

  • 0
  • 3
Anders Rosendal

Ja, men måske vurderede Microsoft, at denne patch krævede ekstra planlægning og test.
Hvis de fucker op, rammer de jo en del brugere og virksomheder.


Ja, det vurderede de helt sikkert. Og de kom frem til at de ville lade deres kunder være uden beskyttelse i 2 dage.

Det er jo ikke Google som tog den beslutning.
Microsoft havde jo muligheden for lige at betale nogle folk for at arbejde 2 dage ekstra. Spredt ud over 90 dage er det altså ikke mange ekstra timer om ugen.

Jeg er sikker på Netscape også tænkte "the decision feels less like principles and more like a “gotcha”", da microsoft gjorde IE til en central del af Windows.
Det fik dog ikke Microsoft til at ændre kurs.
Så kan ikke se hvorfor Google skulle?

  • 2
  • 0
Jesper Ravn

Ja, det vurderede de helt sikkert. Og de kom frem til at de ville lade deres kunder være uden beskyttelse i 2 dage.

Super, at du kunne besvare dine egne spørgsmål.
På et tidspunkt blev jeg sgu lidt nervøs for om det lykkes. Men du kom i mål :-)

  • 0
  • 3
Rune Jensen

Ja, 90 dage er normalt en acceptabel deadline.
Men Microsoft bad om 2 dage mere, i henhold til deres velkendte Patch Tuesday.
Så er det da direkte dumt af Google, at ignorere dette. Det var jo ikke sådan, at Microsoft ikke havde en plan og ikke ville tage action på denne sårbarhed.

Google har nok ikke overvejet, at langt de fleste af deres Android brugere har en Windows desktop, og de med deres "undskyldninger" om max 90 dage til at patche er med til at få deres egne kunder inficeret med zero days.

Selvfølgelig skal Microsoft ikke have uendelig tid. Men hvis de iøvrigt svarer på Googles henvendelser, og ber om to dage mere, så er det kun for at drille, at Google ikke giver dem det.

Og egentlig kunne man jo være ret ligeglad med deres interne krig. Hvis ikke det var fordi, at de to indbyrdes kampe altid ender med at gå ud over brugerne.

Men noget har Google da opnået. Et nyt fælles lavniveau, som Microsoft så skal slå. Det kommer de nok også til, det er såmænd slet ikke det.

  • 0
  • 2
Rune Jensen

What’s right for Google is not always right for customers. We urge Google to make protection of customers our collective primary goal.

Det er simpelthen eminent godt formuleret spin af Microsofts propagandaministerium. Det fremstår jo ganske tydeligt, at Microsoft er den diplomatiske, sne hvide, fuldstændigt rent uskyldige, som aldrig kunne finde på at gøre det samme og lade en krig gå ud over brugerne. Hold da helt op. Dén får ren 12 af mig.

  • 1
  • 1
Rune Jensen

Det er simpelthen eminent godt formuleret spin af Microsofts propagandaministerium.

Microsoft kunne jo også indrømme, at deres interne magtkampe har kostet brugerne på begge sider, at de er kede af det, men nu er den trukket for langt og iøvrigt ikke vil være med mere, og derfor gerne vil have en våbenhvile og endelig fred imellem de to.

Der er et eller andet med de tre fingre, som peger indad, når man peger anklagende på en anden.

Man kan overveje, hvorfor Mozilla skred fra Google og gik til Yahoo. Måske er det fordi at være underdog og tage part i en krig imellem giganter aldrig har heldigt udfald for den lille i kampen.

Og så ved jeg godt, at Yahoo bruger BING og dermed Microsofts teknologi. Men læser man hvad Yahoo selv vil, så er det da at være totalt fri af både Google og Microsoft. De har bare ikke finanserne til at kunne gøre det. Endnu.

Jeg har stor respekt for både Yahoo og Mozilla, som ikke gider de her krige. Og ikke særligt meget respekt for hverken Microsoft eller Google iøvrigt. Split dem begge op i adskillige mindre enheder, som skal konkurrere imod hinanden, og imellem sig selv. Så slipper vi for de her platte krige om verdensherredømmet og kan komme videre.

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize