Der opdages til stadighed sikkerhedsfejl i den software, som vi anvender.
Nu er der dukket en stridighed op blandt to af de største it-aktører i forbindelse med den praksis, der er omkring offentliggørelse af sårbarheder.
Microsoft har rettet en skarp kritik af konkurrenten Google for at have offentliggjort en sårbarhed i Windows uden, at Microsoft var klar med en rettelse.
Microsoft argumenterer for, at offentliggørelse er udtryk for en alt for stivnakket holdning hos Google og, at det er til skade for it-sikkerheden.
Google siger omvendt, at Microsoft har kendt betingelserne til offentliggørelsen af sårbarheden i tre måneder.
Google fortæller om 0-dag
Google har valgt at frigive detaljerede oplysninger om en 0-dags sårbarhed, som optræder i Windows 8.1, bare to dage før rettelsen var klar til download.
Der er tale om en sårbarhed, som potentielt kan misbruges til rettighedseskalering, eller til at opnå uautoriseret adgang til følsomme data under Windows 8.1.
Offentliggørelsen sker 90 dage efter, at Google har varslet Microsoft om problemet, og det er netop denne tidsfrist, der er anledning til skænderiet mellem de to kæmper.
Normal Google-praksis er, at 90 dage efter en varsling om et sikkerhedsproblem, fortæller søgegiganten åbent om opdagelsen. Uanset om der er en rettelse eller ej.
Google skriver om Microsofts sikkerhedsproblemer i dette blogindlæg
Den offentliggørelse er Microsoft blevet godt og grundig sur over, og firmaet svarer igen på denne blog.
Microsoft har nemlig rettet fejlen i den tirsdagsopdatering, der er kommet den 13. januar, men allerede den 11. januar fremlagde Google altså de tekniske detaljer.
Annonce:
Til fare for brugerne
I blog-indlægget skriver Microsoft, at Googles opførsel sætter brugerne i en faresituation, fordi eventuelle hackere får anledning til at udnytte sikkerhedshullet, før der er en patch.
Mere specifikt mener Microsoft, at Google har overtrådt den såkaldte Coordinated Vulnerability Disclosure-praksis som mange it-selskaber har tilsluttet sig.
Aftalen angiver i korte træk at sikkerhedsforskere, der opdager sårbarheder, skal koordinere med produktleverandøren for at varetage sikkerheden til brugernes bedste.
Samtidig har Google sin egen praksis, der indebærer, at alle selskaber får 90 dage til at lappe et hul, der er opdaget af Googles folk.
Google har iværksat den praksis i forbindelse med det såkaldte Project Zero, hvor en gruppe forskere afdækker sårbarheder.
90-dagesreglen er implementeret for at lægge pres på selskaberne, så sikkerhedsfejl bliver rettet hurtigt.
Windows 8.1-hullet blev opdaget den 13. november 2014, og ifølge Googles beskrivelse fik Microsoft en frist til den 11. januar til at lukke hullet.
Så Microsoft stod altså i en situation, hvor man enten skulle udsende en opdatering uden for cyklus eller se til, mens Google ville fortæller om sårbarheden.
Til trods for at Microsoft udmærket har været bekendt med denne tidsfrist, er Redmond-selskabet langt fra tilfreds med søgegigantens opførsel i denne sag.
“Det, der er rigtigt for Google, er ikke altid rigtigt for brugerne. Vi opfordrer Google til at gøre beskyttelse af brugerne til en kollektiv opgave,” skriver Microsoft.
Ekspert: Der kommer flere drillerier fra Google
Faktisk har Microsoft tidligere fortalt til Google, at hullet først ville blive lukket til februar, men da Microsoft fik et svar fra Google om, at 90-dages fristen ligger fast for alle, ændrede Microsoft sin udgivelse af lappen til januar.
På den måde har Googles pres på producenterne, for at få hurtige løsninger, vist sig effektiv.
Men de to dage, der skiller offentliggørelsen og patchen, kan virke som en ufleksibel holdning, der har til formål at drille Microsoft og skræmme Windows-brugerne, lyder det fra en ekspert.
“Google har udmærket været klar over, at Microsoft var på vej med en patch. Det er ikke særlig god stil, at firmaet fortæller om en 0-dagssårbarhed, der er på vej til at blive lukket. Det skaber usikkerhed blandt brugerne, og giver hackerne en åbning,” siger Peter Kruse, der er sikkerhedsekspert i firmate CSIS.
Er det et generelt problem i sikkerhedsbranchen?
“Nej, det er det ikke. Der er generelt en god forståelse mellem konkurrenterne, der kan give plads til at få lukket sårbarheder på en fornuftig måde. Det er faktisk kun Google, der har bestemt sig for, at de vil gøre det på denne måde.”
“De har allerede drillet Apple i en lignende episode, og der vil komme flere. Det er dårligt for it-sikkerheden som helhed,” siger den danske sikkerhedsekspert.
Læs også:
IBM-folk afslører: Microsoft lukker kritisk Windows-fejl efter 19 år
Leave a Reply