Microsoft không hài lòng với Google và việc công bố lỗ hổng trong Windows 8.1

Hãy tóm tắt lại. Mùa hè năm ngoái, Google đã công bố thành lập một nhóm nghiên cứu có tên là "Project Zero" chịu trách nhiệm phát hiện và cảnh báo về các vấn đề bảo mật trong phần mềm của họ hoặc của các công ty khác. Vào ngày 30 tháng 9, nhóm này đã cảnh báo Microsoft về sự tồn tại của a lỗ hổng trong Windows 8.1 có thể cho phép các bên thứ ba giành quyền kiểm soát hoạt động của máy chạy Windows 8.1. Nó đã làm như vậy bằng cách kèm theo thông báo về thời hạn 90 ngày để những người ở Redmond giải quyết nó trước khi công khai hoàn toàn.

Vấn đề cuối cùng đã xảy ra vào tuần trước. Sau 90 ngày mà Microsoft không thể sửa xong, lỗ hổng đã được nhóm nghiên cứu của Google công khai, cho phép mọi người biết về lỗ hổng này và nêu chi tiết cách thức khắc phục có thể được khai thác. Điều đó không được ưa thích ở Redmond, nơi họ đang nghiên cứu một giải pháp. Rất ít người thích thú khi Chris Betz, giám đốc cấp cao tại Trung tâm phản hồi bảo mật của Microsoft (MSRC), đã quyết định xuất bản một ghi chú lấy làm tiếc về hành động của những người từ Mountain View và kêu gọi sự hiểu biết tốt hơn giữa các nhóm bảo mật của các công ty.

Betz rất chỉ trích hiệu suất của Google trong vấn đề này. Rõ ràng, từ Redmond đã yêu cầu nhóm 'Project Zero' trì hoãn việc công bố phán quyết cho đến ngày 13 tháng 1, lúc đó họ dự định phân phối giải pháp thông qua các bản vá thứ ba nổi tiếng của nó.Thật không may, những người từ Mountain View đã không tuân thủ yêu cầu và điều đó đã thúc đẩy phản ứng của họ bảo vệ một cách cộng tác tốt hơn trong loại tình huống này.

Tại Microsoft họ coi chiến lược mà Google theo đuổi là sai lầm việc có một nhóm nghiên cứu tìm ra các lỗ hổng trong các sản phẩm cạnh tranh, tạo thêm áp lực với thời hạn giải quyết và đe dọa công bố nếu quá thời hạn. Không phải tất cả các lỗ hổng đều có mức độ đe dọa như nhau và chúng thường không có giải pháp nhanh chóng hoặc ứng dụng của chúng ít nhiều phức tạp, vì vậy việc thiết lập bộ đếm ngược cho lần xuất bản của chúng không phải là cách tốt nhất để khuyến khích giải pháp của chúng.

Từ Redmond ủng hộ nhiều hơn để các nhà nghiên cứu cảnh báo riêng cho các công ty về các lỗ hổng tiềm ẩn và cùng họ tìm cách khắc phục mà không yêu cầu các giới hạn tạm thời hoặc đe dọa sự xuất bản.

Via | Microsoft