Microsoft раскритиковала Google за «дыру» в Chrome

Безопасность
мобильная версия
, Текст: Артур Галеев

Компания Microsoft обрушилась с критикой на Google за то, что ее специалисты в течение месяца не исправляют серьезную уязвимость в Chrome. Противостояние из-за вопросов, связанных с безопасностью, продолжается между компаниями уже год.


В Microsoft недовольны подходом Google к исправлению уязвимостей

Сотрудники компании Microsoft, ответственные за безопасность, раскритиковали подход Google к исправлению уязвимостей. Пост в блоге компании посвящен недостатку браузера Chrome, которая делает возможным удаленное выполнение кода на взламываемом компьютере. Об этом эксперты Microsoft заявили еще в сентябре.

«Google в течение недели устранил проблему в бета-версиях браузера Chrome. Но stable и public-версии оставались уязвимыми почти месяц», - недоумевает член группы Microsoft по безопасности Джордан Рабет (Jordan Rabet).

В Microsoft отмечают, что описание самой проблемы и исходные коды с уязвимостями были опубликованы Google на портале Github еще до устранения недостатков. Таким образом, злоумышленники в течение месяца могли использовать опцию удаленного выполнения кода с помощью Chrome.

Также в Microsoft недовольны тем, что сотрудники Google имеют право раскрывать уязвимости в том или ином программном обеспечении уже через 7 дней после того, как о проблеме становится известно вендорам. Нередко устранить недостатки за это время не удается, что ставит создателей ПО в затруднительное положение.

Как ссорились Microsoft и Google

В октябре 2016 г. именно таким образом Google раскрыл серьезную специфическую ошибку в Windows: она позволяла киберпреступникам покидать изолированную программную среду из-за недостатка в системе win32k. Компания выпустила дополнение, которое защитило пользователей браузера Chrome, однако через 10 дней после обнаружения уязвимости сообщила о ней публично. Специалисты Microsoft не успели за это время устранить проблему и ОС оставалась уязвимой еще какое-то время. И все об этом знали благодаря публикации Google.

В Microsoft критикуют Google за недостаточно оперативное устранение уязвимостей

Microsoft в ответ резко раскритиковал Google, предложив использовать в качестве браузера продукт Edge и пообещав, что патчи с исправлениями будут разосланы пользователям в ближайшее время. На самом деле это заняло еще 8 дней.

Политика, согласно которой Google может раскрывать уязвимости в других программных продуктах через 7 дней после обнаружения, была введена в 2013 г. Публичным оказался только скандал с Microsoft, однако различные исследователи продолжаю критиковать Google за такой подход.

Microsoft скрыла похищение своей базы данных

Накануне стало известно, что корпорация Microsoft скрыла от пользователей факт взлома своих серверов группировкой Wild Neutron и утечки данных об уязвимостях и выявленных ошибках в ПО. История произошла еще в 2013 г., и о ней независимо друг от друга рассказали пять бывший сотрудников компании.

В течение нескольких последующих месяцев корпорация исправляла все недочеты, так что масштабы последствий для пользователей были «ограниченными». Однако бывшие правительственные чиновники США выразили опасения, что хакеры могли получить доступ в сети правительств и крупных корпораций, поскольку Windows и другие программы Microsoft используются повсеместно. Бывшие сотрудники Microsoft полагают, что сведения из базы данных об уязвимостях могли быть использованы позднее.