Microsoft вынудил Google быть добрее к ошибкам в Windows
Google изменил правила раскрытия уязвимостей программного обеспечения своих конкурентов. Данное решение было принято после того, как на компанию обрушился шквал критики со стороны Microsoft за то, что IT-гигант не предоставляет достаточное количество времени на исправление ошибок, что сильно сказывается на безопасности и повышает риск атак злоумышленников. Об этом сообщает Computerworld.
Примерно месяц назад между компаниями произошел инцидент из-за того, что Google опубликовал обнаруженные уязвимости почти во всех версиях Windows. В Microsoft сочли, что действия поискового гиганта не направлены на помощь в устранении недочетов и повышение безопасности, а, напротив, лишь вредят конкурентам и пользователям. Поэтому в Google посчитали необходимым внести изменения в правила проекта Project Zero, в рамках которого и происходит обнаружение ошибок.
Раньше компании отводилось 90 дней на исправление обнаруженных уязвимостей. Если за это время производитель ПО не успевал принять меры, то Google опубликовывал данные об ошибках в общем доступе. В прошлом месяце Microsoft не хватило всего несколько дней, чтобы выпустить исправленный Patch. В Google объяснили, что действовали из лучших побуждений, чтобы пользователи могли обезопасить себя. Однако в "пострадавшей" IT-корпорации заявили, что подобные действия, наоборот, повышают вероятность хакерской атаки.
Поэтому теперь Google будет предоставлять разработчикам ПО "дополнительное время" в виде 14 дней. "Если 90 дней на устранение ошибок подходят к концу, но производитель сообщает нам, что планирует в определенный день выпустить пакет исправлений в течение 14 дней, тогда опубликование информации будет отложено до этого самого дня", - сообщается в официальном блоге проекта Project Zero. Таким образом раскрытие уязвимостей до их устранения возможно, если поставщик ПО не укладывается в отведенное ему время. Однако в Google обнадежили, что в выходные и праздничные дни раскрывать данные об уязвимостях своих конкурентов не будут.
"Хотя мы и позитивно смотрим на изменение правил опубликования найденных уязвимостей, мы не можем согласиться с фиксированными сроками устранения ошибок, потому что каждое обновление уникально и требует разное количество времени на тестирование. Если же обнаруженные недочеты раскрываются публично до того, как разработчики их устранили, то риск хакерских атак на пользовательские компьютеры повышается", - прокомментировал решение Google старший директор Microsoft Security Response Center Крис Бетц (Chris Betz).