RSS канал
Команда Microsoft, отвечающая за безопасность Windows, выражала негодование политикой Google в течении последнего года.
За последние пару лет команда Google по поиску уязвимостей в сторонних продуктах под названием «Project Zero» уже большое количество раз находила проблемы в безопасности продуктов Microsoft и обвиняла ее в нерасторопности при их редактировании. Это рассердило Microsoft настолько, что Терри Майерсон написал сообщение в блоге, критикуя Google за то, что она относится безответственно к раскрытию уязвимостей безопасности.
В общем работа Google над уязвимостью CVE-2017-5121 «Out-of-bounds access in V8» в Chrome произвела хорошее впечатление, так как ее исправление было размещено уже через 4 дня после первого сообщения*, а исправленная сборка продукта возникла через 3 дня после этого. Тем не менее, стабильные публичные сборки остаются уязвимыми уже на протяжении целого месяца. Это дало хакерам месяц на использование уязвимости. По их мнению, юзеры различных версий Windows поставлены в неравные условия: Windows 10 получает обновления безопасности очень быстро, а патчи для Windows 7 и 8 выходят с большой задержкой либо впрочем не выпускаются.
Эта история должна послужить Google напоминанием, что ее код является таким же решетом, как и код Microsoft, поэтому все специалисты безопасности должны достаточно серьезно относиться к раскрытию информации. Конечно, ежели проходит множество времени, а баг либо дыру не исправляют, на исследователях лежит ответственность раскрыть информацию о находках. Именно этот подход безумно разозлил Microsoft, и компания будет использовать любую возможность, чтобы припомнить об этом Google.