Google odkril in po dobrem tednu objavil ranljivost v Windows, Microsoft nejevoljen

Google in Microsoft sta se spet zapletla v besedno vojno glede razkrivanja nezakrpanih ranljivosti. V Mountain Viewu že leta zagovarjajo pristop, da je treba javljene ranljivosti zakrpati takoj ali najpozneje v sedmih dneh, kadar se aktivno izrabljajo, medtem ko se Microsoftu ne mudi tako zelo.

Google je pred poldrugim tednom (21. oktobra) Microsoft in Adobe obvestil, da v Flashu in jedru Windows obstajata kritični ranljivosti. Adobe je hitro reagiral in 26. oktobra luknjo zakrpal v posodobitvi za Flash, Microsoft pa ne. Ker je ranljivost resna, saj omogoča eskalacijo privilegijev pri uporabi Chroma in s tem pobeg iz varnega peskovnika, je Google včeraj javno objavil podrobnosti o ranljivosti. S tem želi pritisniti na Microsoft, da ta čim hitreje izdela popravek.

V Redmondu nad takšnim izsiljevanjem niso niti najmanj navdušeni. Predvidljivo so zapisali, da je Google s svojim dejanjem v resnici pomagal potencialnim napadalcem. Poudarjajo, da verjamejo v odgovorno in koordinirano razkrivanje ranljivosti, kar Googlova poteza ni bila. Toda Microsoft očitno pozablja, da ne gre za potencialne napadalce, temveč kar dejanske.

V Googlu se sklicujejo na lastno časovnico, ki jo uporabljajo od leta 2013. Ob odkritju ranljivosti te sporočijo proizvajalcu programske opreme, ki mu potem dajo 60 dni časa, da jo odpravi, če ni nobenih indicev, da bi ranljivost kdorkoli aktivno izkoriščal. Če pa je aktivna, potem je časa le sedem dni, nakar Google podrobnosti razkrije javnosti. Spomnimo, da to ni prvi primer, ko sta se Microsoft in Google zapletla v enak spor. V začetku minulega leta je Google po 60 dneh neodzivnosti iz Microsofta takisto javno priobčil luknjo, kar je Microsoft hudo razjezilo, a je Google ostal neomajen.

Za najnovejšo ranljivost, ki tiči v sistemski datoteki Win32k.sys, sedaj čakamo popravek iz Microsofta. Iz Microsofta so za zdaj glede tega sporočili le, da priporočajo uporabo Windows 10 in brskalnika Edge.