Microsoft revser Google efter tidlig afsløring af 0-dagssårbarhed

12. januar 2015 kl. 15:2020
Google offentliggjorde et sikkerhedshul i Windows 8.1 kort tid før Microsoft ville lukke det. Søgegiganten ignorerede forespørgsel om to dages ekstra frist.
Artiklen er ældre end 30 dage

90 dage er, hvad Google giver selskaber til at rette i software, når søgegiganten finder fejl og sårbarheder. Og det er tilsyneladende ikke en deadline, man afviger fra.

Microsofts frist til at få lukket et sikkerhedshul i Windows 8.1, der lader en bruger tiltuske sig administratorrettigheder, udløb søndag, og Google gjorde som lovet og frigav softwarefejlen. Til trods for at Microsoft havde bedt om to dages ekstra frist – indtil tirsdag hvor en opdatering bliver sendt ud. Det skriver BBC.

Googles Project Zero har til formål at finde huller i udbredte stykker software. Den omstridte 90-dagsfrist har til formål at tvinge selskaberne til at reagere og ikke sylte sikkerhedshuller.

Microsoft havde dog reageret på Googles advarsel. Fejlen bliver angiveligt rettet i en opdatering tirsdag – to dage efter deadline, hvilket altså ikke var godt nok til Google.

Artiklen fortsætter efter annoncen

»Selvom de holder sig til Googles annoncerede tidsplan for offentliggørelsen, så føles beslutningen mindre som principper og mere som en ’gotcha’, hvor det er kunder, der lider under resultatet,« skriver Microsofts forskningschef, Chris Betz, i en blog.

»Hvad der er rigtig for Google, er ikke altid rigtigt for kunder. Vi tilskynder Google til at gøre kundebeskyttelse til vores fælles primære mål,« forsætter Chris Betz.

BBC har ikke fået en kommentar fra Google.

20 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
16
19. januar 2015 kl. 20:32

Ja, det vurderede de helt sikkert. Og de kom frem til at de ville lade deres kunder være uden beskyttelse i 2 dage.

Super, at du kunne besvare dine egne spørgsmål. På et tidspunkt blev jeg sgu lidt nervøs for om det lykkes. Men du kom i mål :-)

6
13. januar 2015 kl. 11:36

Om jeg begriber de får 90 dage.. Jeg tænker at 30 burde være rigeligt. Men de har sikkert været large så de små udviklere også kan være med, men Microsoft, tag jer lige sammen hva'!

7
13. januar 2015 kl. 12:21

Så 30 dage... dvs. fra du får en bug report, til du får den prioriteret, kørt op mod andre rettelser der er i scope. Debugget, rettet, verificeret rettelsen virker, verificeret om fejlen findes i andre versioner af produktet end de indmeldte, verificeret at rettelsen ikke har impact på anden funktionalitet der benytter samme komponenter, og at rettelsen ikke har impact på andre versioner af produktet.

Dette kan være let nok med et buffer overrun, men andre rettelser kan være mere komplekse. Plus muligheden for at der ikke er daglige builds til test, osv.

Dertil kan man så diskutere at MS jo har en release policy der gør at alt der ikke er super-superkritisk kun bliver releaset 1 gang om måneden, vil gøre at en 30-dags periode er svær at nå for et mere komplekst setup der skal testes ordenligt. For vi har jo allesammen set hvordan der falder brænde ned, når de har releaset et fix, der flækker Windows hvis du har Random AV-program X, util program Y, og bootmanipulater Z installeret.

9
13. januar 2015 kl. 13:27

Ja, 90 dage er normalt en acceptabel deadline. Men Microsoft bad om 2 dage mere, i henhold til deres velkendte Patch Tuesday. Så er det da direkte dumt af Google, at ignorere dette. Det var jo ikke sådan, at Microsoft ikke havde en plan og ikke ville tage action på denne sårbarhed.

18
19. januar 2015 kl. 23:53

Ja, 90 dage er normalt en acceptabel deadline.
Men Microsoft bad om 2 dage mere, i henhold til deres velkendte Patch Tuesday.
Så er det da direkte dumt af Google, at ignorere dette. Det var jo ikke sådan, at Microsoft ikke havde en plan og ikke ville tage action på denne sårbarhed.

Google har nok ikke overvejet, at langt de fleste af deres Android brugere har en Windows desktop, og de med deres "undskyldninger" om max 90 dage til at patche er med til at få deres egne kunder inficeret med zero days.

Selvfølgelig skal Microsoft ikke have uendelig tid. Men hvis de iøvrigt svarer på Googles henvendelser, og ber om to dage mere, så er det kun for at drille, at Google ikke giver dem det.

Og egentlig kunne man jo være ret ligeglad med deres interne krig. Hvis ikke det var fordi, at de to indbyrdes kampe altid ender med at gå ud over brugerne.

Men noget har Google da opnået. Et nyt fælles lavniveau, som Microsoft så skal slå. Det kommer de nok også til, det er såmænd slet ikke det.

12
19. januar 2015 kl. 15:55

Hvorfor vælger de en tirsdag som ligger efter de 90 dage?

A Call for Better Coordinated Vulnerability Disclosurehttp://blogs.technet.com/b/msrc/archive/2015/01/11/a-call-for-better-coordinated-vulnerability-disclosure.aspx

Citat: CVD philosophy and action is playing out today as one company - Google - has released information about a vulnerability in a Microsoft product, two days before our planned fix on our well known and coordinated Patch Tuesday cadence, despite our request that they avoid doing so. Specifically, we asked Google to work with us to protect customers by withholding details until Tuesday, January 13, when we will be releasing a fix. Although following through keeps to Google’s announced timeline for disclosure, the decision feels less like principles and more like a “gotcha”, with customers the ones who may suffer as a result. What’s right for Google is not always right for customers. We urge Google to make protection of customers our collective primary goal.

Patch Tuesdayhttp://searchsecurity.techtarget.com/definition/Patch-Tuesday

19
20. januar 2015 kl. 00:22

What’s right for Google is not always right for customers. We urge Google to make protection of customers our collective primary goal.

Det er simpelthen eminent godt formuleret spin af Microsofts propagandaministerium. Det fremstår jo ganske tydeligt, at Microsoft er den diplomatiske, sne hvide, fuldstændigt rent uskyldige, som aldrig kunne finde på at gøre det samme og lade en krig gå ud over brugerne. Hold da helt op. Dén får ren 12 af mig.

20
20. januar 2015 kl. 00:53

Det er simpelthen eminent godt formuleret spin af Microsofts propagandaministerium.

Microsoft kunne jo også indrømme, at deres interne magtkampe har kostet brugerne på begge sider, at de er kede af det, men nu er den trukket for langt og iøvrigt ikke vil være med mere, og derfor gerne vil have en våbenhvile og endelig fred imellem de to.

Der er et eller andet med de tre fingre, som peger indad, når man peger anklagende på en anden.

Man kan overveje, hvorfor Mozilla skred fra Google og gik til Yahoo. Måske er det fordi at være underdog og tage part i en krig imellem giganter aldrig har heldigt udfald for den lille i kampen.

Og så ved jeg godt, at Yahoo bruger BING og dermed Microsofts teknologi. Men læser man hvad Yahoo selv vil, så er det da at være totalt fri af både Google og Microsoft. De har bare ikke finanserne til at kunne gøre det. Endnu.

Jeg har stor respekt for både Yahoo og Mozilla, som ikke gider de her krige. Og ikke særligt meget respekt for hverken Microsoft eller Google iøvrigt. Split dem begge op i adskillige mindre enheder, som skal konkurrere imod hinanden, og imellem sig selv. Så slipper vi for de her platte krige om verdensherredømmet og kan komme videre.

14
19. januar 2015 kl. 16:26

Ja, men måske vurderede Microsoft, at denne patch krævede ekstra planlægning og test. Hvis de fucker op, rammer de jo en del brugere og virksomheder.

15
19. januar 2015 kl. 16:56

Ja, men måske vurderede Microsoft, at denne patch krævede ekstra planlægning og test.
Hvis de fucker op, rammer de jo en del brugere og virksomheder.

Ja, det vurderede de helt sikkert. Og de kom frem til at de ville lade deres kunder være uden beskyttelse i 2 dage.

Det er jo ikke Google som tog den beslutning. Microsoft havde jo muligheden for lige at betale nogle folk for at arbejde 2 dage ekstra. Spredt ud over 90 dage er det altså ikke mange ekstra timer om ugen.

Jeg er sikker på Netscape også tænkte "the decision feels less like principles and more like a “gotcha”", da microsoft gjorde IE til en central del af Windows. Det fik dog ikke Microsoft til at ændre kurs. Så kan ikke se hvorfor Google skulle?

5
13. januar 2015 kl. 09:12

Hvis 90 dage ikke er nok så har MS nok ikke SÅ travlt med at fikse den. En ting er at de selv finder og retter en fejl. Men hvis det tager SÅ lang tid at læse whitepaper. Reproducerer fejlen og lave en rettelse samt at teste den så har MS altså problemer med prioriteterne.

4
12. januar 2015 kl. 21:14

Version2 , nu er det anden gang vi får samme nyhed. Måske med den tvist den burde være leveret med første gang.

Hvis i ikke kan finde noget nyt at skrive om, kan i så ikke bruge lidt mere tid på dem i laver. Så som at følge op, måske med en Dansk vinkel. Så i ikke bare oversætte udenlandske artikler, eller bringer PR nyhedsbreve om produkter fra forskellige firma.

http://www.version2.dk/artikel/google-frigiver-exploit-til-microsoft-0-dagssaarbarhed-efter-frist-paa-90-dage-76071

Fik i så mange "klik" på den anden reportage at i prøver igen.

2
12. januar 2015 kl. 19:07

hvad blev der af googles offielle slogan "dont be evil". Google kunne godt havde opført sig pænt og ventet et par dage.

1
12. januar 2015 kl. 18:05

"Vi tilskynder Google til at gøre kundebeskyttelse til vores fælles primære mål" Godt, fix your shit!