11 января группа Google Project Zero опубликовала информацию об уязвимости в операционной системе Windows 8.1 - уже второй за последние две недели. Группа публикует сведения об уязвимостях через 90 дней после отправки уведомления авторам, вне зависимости от того, успели ли те выпустить исправление.
11 января группа Google Project Zero опубликовала информацию об уязвимости в операционной системе Windows 8.1 — уже второй за последние две недели.
Группа публикует сведения об уязвимостях через 90 дней после отправки уведомления авторам, вне зависимости от того, успели ли те выпустить очередной патч (исправление). В Microsoft критически относятся к этой политике. Как пишет старший директор Центра реагирования на проблемы в области безопасности корпорации Microsoft Крис Бетц, в Google опубликовали информацию всего за два дня до заранее известной ей даты выпуска исправления, несмотря на просьбы Microsoft отложить публикацию.
Такое решение больше похоже на желание подловить конкурента и в результате его могут пострадать клиенты, пишет Бетц. В Microsoft не считают корректным публиковать сведения об уязвимостях в продуктах конкурентов, добавляет он. Microsoft выступает за политику «скоординированной публикации сведений об уязвимостях». В соответствии с ней, исследователи, обнаружившие уязвимость, должны дожидаться выпуска исправлений. В Google считают, что в современных условиях время на подготовку исправлений должно сокращаться.
Следует отметить, что группа Google Project Zero публикует сведения об уязвимостях через 90 дней после отправки уведомления авторам, вне зависимости от того, успели ли те выпустить исправление.
В данном случае, публичное раскрытие касается ошибки, которая предоставляет пользователям низкого уровня привилегии стать администраторами, что обеспечивает больший доступ к конфиденциальным функциям, которые они не должны были иметь.