Между Google и Microsoft идет какая-то война. Интернет-гигант раскрывает все больше информации о серьезных уязвимостях Windows. Только не делает ли он это для того, чтобы подорвать позиции своего соперника? Информацию о последней уязвимости представили... за два дня до выхода патча.
Летом прошлого года интернет-гигант организовал специальный проект под названием Project Zero. Нанятые хакеры должны были обнаруживать уязвимости в различных системах, прежде чем их обнаружат злоумышленники. Только в программном обеспечении Microsoft хакеры Google, начиная с ноября, нашли пятнадцать слабых мест.
Project Zero руководствуется одним правилом: обнаружив угрозу, они информируют о ней автора программного обеспечения и ждут три месяца. Потом они публикуют информацию об уязвимости, независимо от того, вышло ли соответствующее обновление или нет.
Как сообщает Business Insider, Microsoft остался не очень доволен такой практикой. Особенно это касается раскрытия более подробной информации о нескольких уязвимостях в Windows 8. В Редмонд считают, что Google ведет нечестную игру. Почему? Потому что информацию о последней уязвимости опубликовали всего за два дня до выхода патча. Важно, что Microsoft выпускает свои обновления в течение определенного времени (для того, чтобы администраторы компьютеров имели возможность планировать свою работу).
Google мог бы подождать еще два дня, а не принципиально цепляться за конкретные сроки. Благодаря этому компьютеры пользователей были бы в большей безопасности. Но для Google это не является аргументом дискуссии, поскольку представители компании считают, что три месяца – это достаточный срок для того, чтобы выпустить патч.
Google ищет уязвимости, но не у себя
В базе Project Zero невозможно найти информацию о... программном обеспечении Google. База состоит из анализа других продуктов (например, компании Microsoft или Apple), но о проблемах своей собственной системы Google умалчивает. Таким образом, можно сделать вывод, что в какой-то степени Project Zero является маркетинговым инструментом, стремящимся показать Google в лучшем свете, а конкурентов выставить с плохой стороны.
Интересно, исправляет ли Google все обнаруженные уязвимости в течение 90 дней с момента получения соответствующей информации?
Итак, возникает вопрос: кому выгодно раскрытие уязвимостей компанией Google перед выходом соответствующего обновления? Крис Бец, глава службы безопасности Microsoft, подытожил что, не все, что хорошо для Google, полезно для пользователей. Или, возможно, Google прав и Microsoft должен быстрее работать над фиксацией уязвимостей.