Στις αρχές του μήνα η Google είχε δημοσιοποιήσει ένα τρωτό σημείο των Windows 8.1 το οποίο επιτρέπει σε low-level χρήστες να αποκτήσουν δικαιώματα administrator και τα αυξημένα δικαιώματα μπορούν δυνητικά να αποτελέσουν απειλή για πολλούς πελάτες της Microsoft. Η Google ανέφερε ότι έδωσε αρκετό χρόνο στην Microsoft για να διορθώσει το πρόβλημα πριν το δημοσιεύσει.
Για την ακρίβεια αναφέρει ότι πέρασαν 90 ημέρες από τότε που το Project Zero της Google, βρήκε το τρωτό σημείο και ειδοποίησε την Microsoft. Αυτό σημαίνει ότι η Microsoft γνώριζε το πρόβλημα και παρόλα αυτά δεν κατάφερε να το διορθώσει με κάποιο update.
Από την πλευρά της η Microsoft ασκεί έντονη κριτική στην Google που προχώρησε στην δημοσιοποίηση του σημαντικού bug δυο μέρες πριν το διορθώσει. Όμως οι κανονισμοί της ομάδας που βρίσκεται πίσω από το Project Zero, επιβάλλουν τη δημοσιοποίηση μέσα στις 90 μέρες. Η Microsoft είχε ζητήσει από τη Google να μην προχωρήσει στη δημοσιοποίηση λεπτομερειών, αλλά εκ του αποτελέσματος φαίνεται πως δεν θέλησε να την ακούσει.
Ο Chris Betz, υπεύθυνος ασφαλείας της Microsoft έγραψε ότι η κίνηση της Google δεν αφορά τόσο τους κανονισμούς αλλά κυρίως είχε στόχο να ανταγωνιστεί τη Microsoft, με αποτέλεσμα οι χρήστες της να βρεθούν στη μέση και να ζημιωθούν “feels less like principles and more like a ‘gotcha’, with customers the one who may suffer as a result”.
Συνεχίζει λέγοντας, ότι αυτό που είναι σωστό για τη Google δεν είναι πάντα σωστό για τους χρήστες και καλεί τη Google να υπογράψει συμφωνία σχετικά με την πολιτική δημοσιοποιήσεων όσον αφορά στα κενά ασφαλείας.
Ο Betz, αναφέρει ότι η δημοσιοποίηση του προβλήματος κάνει πιο ευάλωτους τους χρήστες και η εταιρεία χρειάζεται ακόμη περισσότερο χρόνο για να το διορθώσει, ενώ παράλληλα μπαίνουν άλλες εταιρείες στον ανταγωνισμό. Τώρα, για το εάν η Google μπορούσε να περιμένει λίγες μέρες ακόμη μέχρι να δημοσιοποιήσει το πρόβλημα, είναι ένα εξίσου σημαντικό ερώτημα. Τι λέτε;
Επεξεργάστηκε την 13 Ιανουαρίου 2015 11:36
Χρησιμοποιούμε cookies για να παρέχουμε την καλύτερη δυνατή εμπειρία.
Σχόλια
Εγώ λέω πως η Google νιώθει την ανάσα της Microsoft καυτή στο σβέρκο της με την ανακοίνωση των νέων windows 10 να πλησιάζει και προσπαθεί να την υπονομεύσει γιατί ξέρει πως τα ποσοστά της δεύτερης πρόκειται να ανέβουν σημαντικά στις mobile συσκευές.
Εγώ είμαι με την Google
Αν η Google γνώριζε από πριν πως η ημερομηνία διόρθωσης του bug είναι 2 μέρες μετά τη λήγη της διορίας των 90 ημερών, τότε θεωρώ πως ήταν λάθος κίνηση από τη μεριά της.
μόνο η google δεν έχει άδικο εδώ δεν φτάνει που τούς πληρώνετε στην microsoft δεν φτάνει που τα ξέρουν πριν τούς τα πούνε του υπερασπίζεστε κιόλας μιλάμε για 3 μήνες έτσι ?? 90 μέρες και δεν μπόρεσε να το διορθώσει να κατεβάσει όλα τα windows 8 άντε άλλο οι απόψεις isheeps η όχι άλλο το τι κινητό θα πάρεις και να διαφωνείς βάση το του σου αρέσει για τα κορυφαία άλλο αυτό εδώ
όσο για το σχόλιο για τα windows 10 είχα ποοοοοοοοοολυ καιρό να γελάσω έτσι ναι βάση το ότι μια εκδοσή είναι μάπα μια είναι καλή μας λέει ότι τα 10 θα είναι καλά άλλα όχι και έτσι είπαμε χο0αοχα0οχα0χοα0οχ
Καλά έκανε και το αποκάλυψε η Google έτσι ώστε ο καθένας να μπορεί να λάβει τα δικά του μέτρα όσο δεν έχει βγει update.Η Microsoft θα το κρατούσε μέχρι ανέκαθεν (ποιός ξέρει για ποιούς λόγους και σε ποιούς θα ήθελε να το δώσει).Αναγκάστηκε να βγάλει ουσιαστικά update πιο νωρίς (σε 2 μέρες παρακαλώ) επειδή το δημοσίευσε η Google.
Περιμένω το άρθρο που η Microsoft βρήκε τρύπα στο Android 4.3 όπου η Google δεν προτίθεται να διορθώσει ποτέ!
https://www.geekwire.com/2015/burning-microsoft-google-leaves-android-vulnerability-unpatched/
Η αντίδραση της Google είναι παιδαριώδης. Κάνει σαν το παιδάκι που λέει ''σ' έπιασα'', χωρίς να τη νοιάζουν οι συνέπειες. Καταρχήν, αν την ενδιέφεραν οι χρήστες δε θα δημοσιοποιούσε τις πληροφορίες του vulnerability δημοσίως, *δύο* ημέρες πριν κυκλοφορήσει το update! Κατά δεύτερον, το κενό δεν είναι σοβαρό, ώστε να ανέβει στην προτεραιότητα και να κυκλοφορήσει με επείγον hotfix. Η Microsoft μπορεί να το γνώριζε απ' τις αρχές Οκτωβρίου, ωστόσο το έκανε push back στην PT του Ιανουαρίου, ακριβώς επειδή χρειάζεται *φυσική* πρόσβαση στο μηχάνημα που θέλεις να κάνεις επίθεση για leveraging των credentials, κάτι που στο 99% των περιπτώσεων δε συμβαίνει, με τους περισσότερους hackers να μπαίνουν εξ' αποστάσεως (αλήθεια, μπήκε κανείς στη διαδικασία να διαβάσει τις λεπτομέρειες για το κενό πριν σχολιάσει εδώ;). Κατά τρίτον, τι λέτε για το ότι η Google δεν ενδιαφέρεται να κλείσει κενό ασφαλείας στο WebView, από την έκδοση Android 4.3 και πίσω; Εκεί μήπως πρέπει να επέμβει η MS για να το κλείσει;
Κάποια στιγμή καταλάβετε ότι η Microsoft δεν έχει στο pipeline μόνο τα Windows που χρησιμοποιείτε στον υπολογιστή ώστε να κλείνει τα πάντα εγκαίρως. Έχει 6 εκδόσεις λειτουργικών συστημάτων (Vista, 7, 8, 8.1, RT, WP 8.1), 3 εκδόσεις του Office (2007, 2010, 2013) και αναρίθμητα άλλα προγράμματα (Visual Studio, Silverlight, Skype, OneDrive, Azure, .NET Server και δεκάδες apps σε Windows/Windows Phone Store, Play Store και App Store), για τα οποία πρέπει να εξετάσει, να βρει κενά, να γράψει κώδικα για τις ενημερώσεις, να αποφασίσει ποια είναι critical, high, low, να διευθύνει το σε ποια Patch Tuesday θα πάει το κάθε τι, να περάσουν όλα τον κύκλο alpha, beta, gamma, να τα διαθέσει και να περάσει και τη φάση του delta cycle, με εντοπισμό πιθανόν post-installation failures, κάτι που θα ξεκινήσει ξανά τον παραπάνω κύκλο. Δεν είναι, το βρήκαμε, το γράψαμε, ορίστε κόσμε, πάρτο...