21:56 12.01.2015 |   2668



Группа Google Project Zero публикует сведения об уязвимостях через 90 дней после отправки уведомления авторам, вне зависимости от того, успели ли те выпустить исправление.

11 января группа Google Project Zero опубликовала информацию об уязвимости в операционной системе Windows 8.1 — уже второй за последние две недели. Группа публикует сведения об уязвимостях через 90 дней после отправки уведомления авторам, вне зависимости от того, успели ли те выпустить исправление. В Microsoft критически относятся к этой политике. Как пишет старший директор Центра реагирования на проблемы в области безопасности корпорации Microsoft Крис Бетц, в Google опубликовали информацию всего за два дня до хорошо известной ей даты выпуска исправления, невзирая на просьбы Microsoft отложить публикацию. Такое решение больше похоже на желание подловить конкурента и в результате его могут пострадать клиенты, пишет Бетц. В Microsoft не считают корректным публиковать сведения об уязвимостях в продуктах конкурентов, добавляет он.

Microsoft выступает за политику «скоординированной публикации сведений об уязвимостях». В соответствии с ней, исследователи, обнаружившие уязвимость, должны дожидаться выпуска исправлений. В Google считают, что в современных условиях время на подготовку исправлений должно сокращаться.


Теги: Информационная безопасность Microsoft Google Уязвимости
На ту же тему: