Google kunne ha ventet med å avsløre sikkerhetshullet i Windows 8.1, mener Microsoft. (Foto: Microsoft)

Microsoft refser Google

Misfornøyd med sikkerhetshull-avsløring.

I desember avslørte Google et sikkerhetshull i Windows 8.1, som en del av sitt Project Zero-program. Project Zero er et slags eliteteam som skal spore opp og avsløre sårbarheter både hos Google og andre leverandører.

Når et hull oppdages, får selskapene 90 dager på å fremstille en fiks, før Project Zero gjør funnene sine offentlige.

Project Zero skal ha oppdaget sårbarheten i september, og skal ha gjort Microsoft oppmerksom på den allerede da. Det har likevel ført til kontrovers at hullet ble gjort offentlig uten at Microsoft hadde rukket å fikse det.

Nå har også Microsoft kommet med en uttalelse i forbindelse med situasjonen som har ført til en del debatt i sikkerhetskretser.

Microsoft er nemlig misfornøyd med at Google publiserte informasjonen bare dager før hullet skulle tettes, og ignorerte selskapets ønsker om å holde den tilbake frem til fiksen var klar. Microsofts sikkerhetssjef, Chris Betz, skriver i bloggen sin at Google hevder at de ønsket å holde seg til sine egne prinsipper om tidsfrister, men for ham føles det mer som at Google prøver å vise seg frem.

Microsoft hadde planer om å rulle ut fiksen i morgen, 13. januar, og hadde bedt Google om å ikke avsløre hullet før den tid.

Det å holde tilbake informasjonen er til det beste for forbukerne, da hullet forblir ukjent og kan fikses uten at noen utnytter det, mener Microsoft. Det tar ofte mye tid å evaluere truslene og utvikle fikser, og Microsoft er ikke enige i at påtvungne 90 dagers-vinduer er alltid til det beste for brukerne flest.

– Vi tror ikke at det ville vært riktig å ha våre sikkerhets-medarbeidere søke etter svakheter i konkurrentenes produkter, presse dem til at fiksen skal rulles ut innen en viss tid, og deretter offentlig avsløre informasjon som kan brukes til å utnytte hullet og angripe brukere før en fiks er klar, skriver Betz.

Microsoft etterlyser mer samarbeid, der sikkerhetseksperter informerer programvareprodusenter om potensielle sikkerhetsbrister via private kanaler, og jobber sammen med dem frem til en fiks er klar, før informasjonen gjøres offentlig. Det er dette som er til det beste for forbrukere. Prosesser som begrenser eller ignorerer slike partnerskap skader alle parter, konkluderer Betz.

Til toppen