Google снова "слила" данные об уязвимостях в Windows, несмотря на просьбы Microsoft
16 янв 2015 19:40 #5760
от ICT
ICT создал тему: Google снова "слила" данные об уязвимостях в Windows, несмотря на просьбы Microsoft
Global Look Press
Компания Google опубликовала информацию о новой уязвимости в Windows, которую Microsoft не успела устранить. "Дыра" содержится в двух версиях операционной системы - 7 и 8.1. Она находится в функции CryptProtectMemory, служащей для шифрования данных в памяти, например, паролей, чтобы их не смогли прочитать другие пользователи, пишет
CNews
. Уязвимость была найдена участником проекта Google Project Zero Джеймсом Форшоу 17 октября. "Microsoft проинформировала нас, что патч для этой уязвимости планируется выпустить в январе. Однако обновление было отложено из-за возникших с совместимостью проблем. Ожидается, что оно выйдет в феврале", - рассказал он. По правилам проекта Google, посвященного поиску уязвимостей в популярном программном обеспечении, информация о найденных "дырах" публикуется спустя 90 дней после ее обнаружения и уведомления разработчика - неважно, выпустил он обновление или нет. То есть Google не стала дожидаться выпуска патча, несмотря на то, что у Microsoft появилась уважительная причина его задержки. Точно так же Google поступила всего несколько дней назад, вызвав негодование Microsoft. В рамках этого же проекта корпорация публично раскрыла сведения о другой уязвимости в Windows 8.1, а также эксплойт к ней (она также была обнаружена Форшоу). Недовольство Microsoft было вызвано отчасти тем, что она просила Google повременить с этим шагом. В Microsoft считают, что Google подставила пользователей "К сожалению, Google пренебрегла правилами координированного раскрытия информации об уязвимостях и опубликовала информацию за два дня до запланированного выпуска обновления, несмотря на наши просьбы не делать этого", - написал представитель Microsoft Крис Бетс в
открытом письме
в официальном блоге компании. Своими действиями Google наносит вред пользователям, а вовсе их не защищает, заявил Бетс. Он призвал поискового гиганта бороться с хакерами и злоумышленниками сплоченно, а не по отдельности. В Google ситуацию никак не прокомментировали. Когда компания анонсировала проект в июле 2014 году, говорилось, что, помимо прочего, он позволит оценить расторопность разработчиков программного обеспечения, то есть насколько быстро "дыры" устраняют одни и насколько медленно это делают другие. В компании сочли, что 90 дней вполне достаточно для устранения уязвимости.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.