Google vztraja pri 90-dnevnem roku za odpravo lukenj, Microsoft nejevoljen

Matej Huš

17. jan 2015 ob 19:56:52

Google nadaljuje svojo politiko brezkompromisnega objavljanja podrobnosti o varnostnih pomanjkljivostih in ranljivostih v tuji programski opremi, ki je minuli teden zanetila spor med Googlom in Microsoftom. Obelodanili so detajle še dveh ranljivosti, ki se pojavljata v Windows 7 (obe) in Windows 8.1 (samo ena). Microsoft ni navdušen.

Ključno vprašanje je definicija odgovornega razkritja. Google vztraja pri 90-dnevnem roku od obvestila proizvajalcu ranljive programske do javnega razkritja. Obstoj roka je razumljiv, saj s tem neodzivnega proizvajalca prisilijo v zakrpanje luknje. A Microsoft še ni neodziven, le nekoliko počasen je.

Google se je odločil, da bo lasten 90-dnevni rok brezpogojno spoštoval, ne glede na okoliščine in zagotovila proizvajalcev. Microsoft pa je po drugi strani ujetnik lastnega sistema Patch Tuesday, ko popravke za svojo programsko opremo nabirajo cel mesec in izdajo drugi torek v mesecu (izredni popravki so sila redki, so se pa že zgodili). V konkretnem primeru je Microsoft nameraval izdati popravka za najnovejši ranljivosti v januarskem paketu popravkov, pa so ju potem prestavili na februar, ker so pri testiranju odkrili nekaj težav z združljivostjo. Google je to vedel, a se je odločil, da izjem ne bo delal in da je 90 dni zadosten rok, v katerem bi moral vsak proizvajalec pripraviti popravek ne glede na kakršnekoli okoliščine.

Microsoft je Patch Tuesday uvedel z Windows XP, ko so vladali neki drugi časi. Predvidljivost izdajanja popravkov ima svoje prednosti zlasti za skrbnike večjih računalniških omrežij in sistemov, a takšni primeri kažejo, da bi veljalo premisliti, ali je to vedno najprimernejša čarovnica izdajanja popravkov.

Žrtve so seveda Microsoftovi uporabniki, ki so sedaj izpostavljeni na milost in nemilost hekerjem. Microsoft je v izjavi za javnost suho dejal, da niso seznanjeni z napadi, v katerih bi aktivno izrabljali zadnji ranljivosti. A do februarskega paketa popravkov je širni internet obveščen o podrobnosti ranljivost, zaščiten pa ni nihče. Kdo je kriv, je stvar perspektive.