Microsoft krytykuje Google'a
Microsoft krytykuje Google'a za nieodpowiedzialne ujawnienie szczegółów dziury w Windows 8.1 i publikację kodu atakującego tę dziurę. Redmond prosił Google'a o wstrzymanie się z informowaniem o dziurze, gdyż przygotował poprawkę, która zostanie opublikowana w ramach styczniowego Patch Tuesday. Mimo to, na dwa dni przed publikacją łaty, Google poinformował świat o szczegółach luki.
Wspomniana dziura występuje w procesie ahcache.sys/NtApphelpCacheControl i pozwala napastnikowi na uruchomienie nowego procesu z uprawnieniami administratora oraz przejęcie kontroli nad maszyną.
Google poinformował Microsoft o znalezieniu dziury na trzy miesiące przed jej ujawnieniem. Stworzenie poprawki prawdopodobnie okazało się bardziej skomplikowane, niż początkowo sądzono, jednak koncern z Redmond przygotował ją na styczniowy Patch Tuesday i poinformował o tym Google'a. Wyszukiwarkowy gigant postanowił jednak nie czekać i zdradził szczegóły luki. Microsoft opublikuje łatę dzisiaj, 13 stycznia.
Chris Betz, jeden z dyrektorów Microsoftu, wezwał Google'a do bardziej odpowiedzialnego postępowania, stwierdzając decyzja wydaje się mniej podyktowana zasadami, a bardziej chęcią powiedzenia 'mamy cię', za co mogą zapłacić konsumenci. To, co jest dobre dla Google'a nie zawsze jest dobre dla konsumentów. Wzywamy Google'a by wspólnie z nami uznał ochronę klientów za główny cel działań.
Niedawno, 29 grudnia, Google ujawnił inną, niezałataną lukę w produktach Microsoftu.
Przed kilku laty byliśmy świadkami podobnego sporu pomiędzy Google'em a Microsoftem.
Komentarze (6)
Sławko, 13 stycznia 2015, 23:06
Czy oni kpią, czy sobie w kulki lecą?
Nieodpowiedzialne to jest zwlekanie z łataniem dziury tyle czasu, mieli na to 3 miesiące!
To są czyste kpiny z użytkowników Windowsa!
Dobrze, że mnie to już nie dotyczy.
radar, 14 stycznia 2015, 09:29
Z jednej strony kpiny, z drugiej strony... skoro dostali info, że załatane to 2 dni mogli poczekać i jeśli by nie było to dopiero opublikować. Chociaż raz zgadzam się z MS.
Sławko, 14 stycznia 2015, 19:30
A ja się nie zgadzam z MS. Skoro zrobili łatę, to dlaczego nie udostępnili jej natychmiast, tylko czekali do tego swojego styczniowego Patch Tuesday. Jak jest coś ważnego do zrobienia to się robi od razu. Widać dla MS ważniejsze od bezpieczeństwa klienta są wymyślone terminy udostępniania łatek.
pogo, 16 stycznia 2015, 22:05
Czekali do Patch Tuesday aby nie rozwalać pracy w korporacjach gdzie przeciętny użytkownik nie może zainstalować samodzielnie łaty i musi to zrobić admin/helpdesk (oczywiście robi to zdalnie). Znacznie łatwiej jest zaplanować sobie nawet cały wtorek raz w miesiącu na wgrywanie łat niż cały czas obserwować czy przypadkiem coś się nie pojawiło.
Do tego dołóżmy jeszcze serwery, które muszą być restartowane aby zainstalować te łaty. I na te kilka godzin trzeba załatwić im sprzęt zastępczy. A w wielu branżach nie można sobie pozwolić nawet na 2 dni opóźnienia w zainstalowaniu pakietu poprawek bezpieczeństwa, bo inżynieria wsteczna tych poprawek da dość czasu na atak.
Chyba nigdy nie pracowałeś w żadnej większej firmie w pobliżu IT skoro nie rozumiesz dlaczego poprawki bezpieczeństwa na luki, które nie są ujawnione i nie są wykorzystywane muszą mieć przewidywalną datę publikacji. Mam jednak nadzieję, że udało mi się choć odrobinę wytłumaczyć czemu tak robią. Uwierz mi, że to właśnie jest lepsza opcja nie dla samego MS, a dla ich klientów... w tym małych hostingów stron porno (choć te pewnie korzystają głównie z linuksów)
wilk, 17 stycznia 2015, 21:08
O ile w przypadku poprzedniej, wspomnianej, dziury Microsoft nie kwapił się z jej łataniem, o tyle tutaj Google mogło poczekać te dwa dni i ocenić czy luka zostanie poprawiona.
Tolo, 23 stycznia 2015, 21:42
Tak to hamówa ze strony googla.