Microsoft og Google i heftig bloggkrangel
Microsoft raser, mener Google er til fare for it-sikkerheten.
Microsoft har rettet skarp kritikk av konkurrenten Google for å ha offentliggjort en sårbarhet i Windows 8.1 uten at Microsoft var klar med en rettelse. Dette skriver computerworld.dk
Microsoft argumenterer for at offentliggjørelse er til skade for it-sikkerheten.
Google hevder på sin side at Microsoft har kjent til betingelsene for offentliggjørelsen av sårbarheten i tre måneder.
Sakens kjerne
Ifølge Computerworld Danmark har Google har valt å frigjøre detaljerte opplysninger om en 0-dags sårbarhet, som opptrer i Windows 8.1. Og det bare to dager før rettelsen var klar.
Google skriver om Microsofts sikkerhetsproblemer i dette blogginnlegget.
Microsoft rettet feilen i tirsdagsoppdateringen som kom ut den 13. januar, men allerede den 11. januar fremla altså Google de tekniske detaljene.
Normal Google-praksis er at de sender ut en åpen varsel om sikkerhetsproblemer 90 dager etter en oppdagelsen. Uansett om det er en rettelse eller ikke.
Offentliggjørelsen skjer 90 dager etter at Google har varslet Microsoft om problemet og det er nettopp denne tidsfristen som er anledningen til uenighetene mellom de to it-kjempene.
Microsoft er sint etter offentliggjørelsen, og firmaet svarer igjen på denne bloggen.
Til fare for brukerne
I blogginnlegget skriver Microsoft at Googles oppførsel setter brukerne i fare, fordi eventuelle hackere får anledning til å utnytte sikkerhetshullet før den er blitt patchet.
Mer spesifikt mener Microsoft at Googles har overtrådt den såkalte Coordinated Vulnerability Disclosure-praksisen som mange it-selskaper har tilsluttet seg.
Avtalen angir i korte trekk at sikkerhetsforskere som oppdager sårbarheter skal koordinere med produktleverandøren for å ivareta sikkerheten til brukernes beste.
Samtidig har Google sin egen praksis som innebærer at alle selskaper får 90 dager på å lappe ett hull som er oppdaget av Googles folk.
Google har iverksatt praksisen i forbindelse med det såkalte Project Zero hvor en gruppe forskere avdekker sårbarheter.
90-dagers regelen er implementert for å legge press på selskapene så sikkerhetsfeil blir rettet raskest mulig.
Windows 8.1-hullet ble oppdaget den 13. november 2014 og ifølge Googles beskrivelse fikk Microsoft en frist på å lukke hullet frem til 11. januar, skriver Computerworld.dk.
Til tross for at Microsoft har vært bekjent med denne tidsfristen, er Redmond-selskapet langt fra tilfreds med søkegigantens oppførsel i denne saken.
— Det som er riktig for Google er ikke alltid riktig for brukerne. Vi oppfordrer Google til å gjøre beskyttelse av brukere til en kollektiv oppgave, skriver Microsoft.
