(Bilde: Shutterstock)

Microsoft med hard kritikk av Google for å ha offentliggjort sikkerhetsfeil

Søkegiganten skal ha offentliggjort sårbarhet før Microsoft fikk fikset den.

Det oppdages stadig sikkerhetsfeil og sårbarheter av varierende alvorlighetsgrad. Nå har det dukket opp en aldri så liten feide mellom to av de største IT-aktørene når det gjelder praksisen rundt offentliggjøring av sårbarheter Dette kommer frem i et ferskt blogginnlegg, hvor Microsoft retter relativt skarp kritikk mot søkegiganten Google.

Kritikken går ut på at Google nylig offentliggjorde informasjon om et knippe sårbarheter i Windows 8.1, som Microsoft ennå ikke har sluppet en fiks til. Microsoft planla å fikse feilene i en oppdatering som skal slippes på tirsdag den 13. januar, men allerede på søndag den 11. januar gjorde Google de tekniske detaljene om feilene offentlig.

– Setter kundene i fare

I blogginnlegget kommer det fram at Microsoft mener dette setter kundene i fare ved at eventuelle hackere får anledning til å utnytte sikkerhetshullene før de er tettet. Mer spesifikt mener Microsoft at Google har brutt med den såkalte Coordinated Vulnerability Disclosure-praksisen (CVD), som mange IT-selskaper har gitt til tilslutning til.

CVD sier i korte trekk at forskningsmiljøene som oppdager sårbarheter skal koordinere med produktleverandørene for å ivareta sikkerheten til kundene best mulig. Samtidig har Google sin egen strenge praksis som innebærer at alle selskaper får 90 dager på seg til å fikse hull som Googles forskere har oppdaget, uansett hvem det gjelder.

Google iverksatte denne praksisen i forbindelse med opprettelsen av den såkalte Project Zero-avdelingen sin i fjor sommer, en «elitegruppe» av forskere som jobber utelukkende med å avdekke sikkerhetsproblemer. 90-dagers-regelen er der for å legge press på selskapene, slik at feil blir rettet raskt.

Windows 8.1-hullene i dette tilfellet ble oppdaget av forskerne den 13. november i fjor, og i den nå offentlige beskrivelsen av hullene opplyser Google om at Microsoft ble informert på dette tidspunktet om at tidsfristen for fiksen utløp den 11. januar.

– Føles som  de tenkte «der tok vi dere»

Til tross for at Microsoft er fullt klar over Googles rigide praksis på dette området, er selskapet altså likevel ikke fornøyd med søkegigantens avgjørelse i dette tilfellet.

– Selv om offentliggjøringen er i tråd med Googles kunngjorte tidsfrister, føles avgjørelsen likevel ikke som prinsipielt begrunnet, men heller mer som «der tok vi dere», med det resultat at kundene vil lide. Det som er riktig for Google er ikke alltid riktig for kundene. Vi oppfordrer Google til å gjøre beskyttelse av kundene til vår kollektive oppgave, skriver Microsoft i blogginnlegget. 

I Googles eget notat om sikkerhetshullene kommer det fram at Microsoft først anmodet om å få fristen forlenget til februar, men fikk til svar fra Google om at 90-dagersregelen ligger fast og er den samme for alle selskaper. Senere informerte Microsoft om at fiksen i stedet ville være klar til januar, så det kan altså se ut til at Googles intensjon om å legge press på produsentene for å få fortgang i feilretting til en viss grad fungerer. For de tekniske detaljene om Windonws 8.1-hullene kan du lese Googles beskrivelse

 

Microsoft har nylig sluppet informasjon om sin nye Windows 10-nettleser: Den får funksjoner ingen andre nettlesere har »

 (Via The Next Web)

Kommentarer (9)

Norges beste mobilabonnement

Mars 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1GB


Jeg bruker middels mye data:

Telio FriBruk 5GB+EU


Jeg bruker mye data:

Komplett MaxiFlex 10GB


Jeg er superbruker:

Komplett MegaFlex 30GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen