Google против Microsoft: Игра проколов

Бизнес

Внезапный разлад между Microsoft и Google случился в начале этого месяца, когда Google обнародовала серьезную уязвимость в продуктах Microsoft. Изъян был раскрыт в рамках проекта Zero, заработавшего прошлым летом. После обнаружения в используемых множеством людей программах ряда дефектов в ходе исследования других проблем, вроде критической уязвимости Heartbleed, Google решила сформировать полноценную команду, нацеленную на поиск таких уязвимостей — не только в программном обеспечении Google, но и в любом пользовательском ПО. Проект предаёт уязвимости гласности вместе с кодом для их эксплуатации, но лишь спустя 90 дней после уведомления изначальных разработчиков о существовании этих ошибок. Это хорошо известное и общепринятое правило игры. Данные об уязвимости Microsoft были обнародованы за каких-то два дня до запланированного выпуска патча. Понятное дело, в Microsoft этому не обрадовались.

Ошибка

Уязвимость была серьезной: это был баг нулевого дня в Windows 8.1, который позволял пользователям с низкими привилегиями в системе повысить свой уровень и получить доступ к критическим функциям, которого они в противном случае иметь не могли бы. Подробнее об ошибке — на Google Security Research.

В Microsoft не рады

После обнародования Крис Бец, старший директор Центра реагирования Microsoft Security, разразился длинным постом в блоге, заклеймив безответственное поведение Google, которая «выпустила информацию об уязвимости в продукте Microsoft за два дня до запланированного выхода патча в рамках хорошо известной и координированной вторничной каденции патчей, несмотря на просьбу так не поступать».

Решение придерживаться расписания публикаций Google, заявил Бец, «не так похоже на принципиальность, как на злорадство, а пострадать в результате могут клиенты».

Кроме того, Бец призвал придерживаться более скоординированного подхода к выпуску данных об уязвимостях, ссылаясь на интересы конечных пользователей.

1000

Ответ Google: ещё ошибки

Вместо того чтобы участвовать в словесной дуэли, в Google обнародовали несколько других брешей в безопасности, в том числе ошибку в функции шифрования памяти CryptProtectMemory в Windows 7 и 8,1. Опять же, это было сделано строго через 90 дней после сообщения о них вендору.

Сотрудник Google Джеймс Форшоу, обнаруживший обе эти ошибки, сказал, что Microsoft подготовила обновление для бага CryptProtectMemory, но была вынуждена приостановить его выпуск из-за «проблем с совместимостью». Другими словами, патч был кривой, и его отложили до февраля.

Мнения разделились

Неудивительно, что специалисты разошлись во мнениях по данному вопросу. Некоторые хвалят Google за то, что та держит слово и не предоставляет каких-либо дополнительных привилегий вендорам, даже столь глобальным и важным как Microsoft. Три месяца представляются достаточным сроком для исправления любого бага как с точки зрения Google, так и многих экспертов.

Другие, однако, встали на сторону Microsoft, полагая, что универсальный для всех подход не слишком годится для некоторых уязвимостей, и у вендора может уйти больше времени на исправление более серьезных проблем. Кроме того, Google всего-то надо было подождать два дня до выпуска патча.

Реальные же вопросы следующие. Как сложно эти ошибки исправлять? Насколько в нынешних проблемах Microsoft виноваты летние увольнения тестировавших Windows и Office программистов?

Есть и те, кто считают Google не совсем нейтральной стороной в данном аспекте. В некоторых сферах Google прямо конкурирует с Microsoft, так что можно усмотреть и собственную выгоду в настойчивом стремлении реализовать это 90-дневное правило.

Вся проблема сводится к противостоянию стандартных 90 дней Google до обнародования и стандартного вторничного выпуска обновлений у Microsoft. А не пора ли приоритетом в данном конфликте сделать интересы пользователя? Google сама далека от совершенства, когда речь идет об уязвимостях в ее коде, и в настоящее время не в ладах с фирмой по безопасности, обнаружившей новую ошибку в Android Wi-Fi прошлой осенью. Google преуменьшает серьезность изъяна, отказываясь выпускать патч как можно скорее, в то время как исследователи в области безопасности считают ошибку довольно опасной. К настоящему времени они откладывали выпуск своих рекомендаций уже несколько раз, ожидая, что Google выпустит обновление, но воз и ныне там. Очевидно, теперь рекомендации выйдут раньше патча.

Следует отметить, что Эд Ботт из ZDNet предложил Google внести правки в стандартное правило и приурочить свои публикации к «соответствующему вторнику патчей по истечении 90-дневного срока», так как не только Microsoft, но и компания Adobe, программы которой также очень популярны и довольно уязвимы, выбрала вторник в качестве дня выпуска регулярных обновлений. Пока еще неизвестно, собирается ли Google прислушаться к этому совету.