Google раскрывает неисправленную уязвимость Windows

05.01.2015 | 02:13 Экономика

Microsoft не исправила баг в 90-дневный срок, предоставленный Google

Исследователь Google раскрыл непропатченную уязвимость в Windows 8.1 после окончания 90-дневного срока, в течении которого Microsoft так и не решила проблему.

Раскрытие ошибки на сайте Google в начале прошлой недели всколыхнуло множество дебатов.
Баг позволяет пользователям Windows низкого уровня получать права администратора.

Некоторые комментаторы сайте Google написали, что компания должна была сохранить информацию в секрете. Google заявила, что неясно, являются ли уязвимыми более ранние версии, чем Windows 8.1.

«Автоматическое раскрытие уязвимостью при достижении дедлайна в таких обстоятельствах кажется мне невероятно безответственным, и я ожидал более высокую степень заботы и зрелости от такой компании, как Google», гласит один из постов на сайте Google.

Это уязвимость повышения локальных привилегий, написано в том же посте. «Это плохо и печально, но это также довольно типичный класс уязвимостей, а не тот, который заставляет людей не спать по ночам, ставя патчи на серверы», сказано в посте. «Печальная реальность такова, что такого рода уязвимостей пруд пруди в Windows».

Другой пост говорит о том, что уязвимые версии Windows работают на «миллиардах» компьютеров пользователей. «Раскрытие такой уязвимости имеет далеко идущие последствия», говорит автор поста. «Люди могут пострадать от этого, и это не приведет к решению проблемы. Когда организация такая большая и мощная, как Google, люди, работающие там, должны понимать, что они обладают большой силой и быть справедливыми, чтобы оценивать вред, который можно нанести при злоупотреблении этой силой».

Другие хвалят Google за выдерживание сроков, с момента начала Project Zero в июле прошлого года. «Никто не добился ничего хорошего, сохраняя информацию в секрете», пишет автор одного из постов. «Показывая уязвимости они позволяют миллиардам пользователей, которые используют уязвимые системы, быть в курсе угроз собственной безопасности и принять контрмеры. Патч — не единственный способ смягчить проблему. Учитывая характер этой уязвимости, есть и другие шаги, которые администраторы могут предпринять, чтобы начать защищать свои уязвимые системы, ожидая выхода патча».

Microsoft в своем заявлении сказала, что работает над выпуском обновления для системы безопасности. «Важно отметить, что для потенциального взломщика системы, в первую очередь необходимо иметь действительные учетные данные для входа в систему и иметь возможность локального входа в систему на целевой машине», сказал пресс-секретарь компании. «Мы рекомендуем клиентам обновлять антивирусное программное обеспечение, установить все доступные обновления безопасности и включить брандмауэр».

Google в заявлении, опубликованном на Engadget, защищает свое разглашение информации о уязвимости.

90-дневный срок Google для исправления багов «является результатом многих лет тщательного рассмотрения и отраслевых дискуссий», сообщает компания. «Исследователи безопасности использовали примерно одни и те же принципы раскрытия информации в течении 13 лет…, и мы думаем, что наши принципы раскрытия информации должны развиваться с изменением экосистемы информационной безопасности. Другими словами, по мере изменения угроз, мы должны менять нашу политику раскрытия информации».

Google будет следить за последствиями своей политики, добавила компания. «Мы хотим, чтобы наши решения управлялись данными, и мы постоянно ищем улучшения, которые принесут пользу безопасности пользователя». «Мы рады, что большинство ошибок, о которых мы сообщали, были исправлены в рамках срока раскрытия, в результате напряженной работы производителей».