Microsoft boos omdat Google bug in Windows heeft onthuld
Not amused. Dat is de toon die spreekt uit een lang blogbericht waarin Chris Betz, senior director van het Microsoft Security Response Center, ingaat op de onthulling van Google dat er een fikse veiligheidsfout zit in Windows 8.1.
Volgens Betz wordt het veiligheidslandschap almaar complexer en moeten bedrijven samenwerken rond cybersecurity, in plaats van elkaar stokken in de wielen te steken.
[related_article id=”161452″]
De bug die Google onthulde, laat toe dat gewone gebruikers beheerdersrechten krijgen, waardoor ze ongewild aan gevoelige functies kunnen. Volgens Microsoft heb je nog altijd de nodige logins nodig om de fout uit te buiten, maar dit kan toch voor de nodige problemen zorgen.
Project Zero
Google onthulde de fout als deel van zijn Project Zero, waarbij computerfouten (en de code om de bugs uit te buiten) openbaar worden gemaakt, evenwel enkel na een deadline van 90 dagen om het probleem op te lossen.
Microsoft werd door Google op 13 oktober gewaarschuwd. De 90 dagen gingen voorbij en de fout werd openbaar gemaakt. Betz zegt echter dat Microsoft vroeg om de details van de fout geheim te houden tot de volgende Patch Tuesday op 13 januari. Wat niet gebeurde en waarover men in Redmond behoorlijk boos is.
Koeioneren
Volgens Microsoft heeft de beslissing van Google minder te maken met principes en meer met het koeioneren van een concurrent, en is de gebruiker hiervan uiteindelijk de dupe. “Wat juist is voor Google is niet altijd juist voor de gebruiker”, aldus Betz. “We vragen aan Google met aandrang om de bescherming van gebruikers ons collectief primair doel te maken.”
Betz vindt ook dat door het onthullen van de bug voor er een oplossing was, er schade is aangericht aan “miljoenen mensen en de systemen waarop ze vertrouwen”. Het risico dat een fout uitgebuit wordt door kwaadwillende personen neemt immers toe als ze voortijdig op straat wordt gegooid.
Eerst oplossen, dan uitbrengen
In plaats van details over veiligheidsfouten uit te brengen, zouden securityspecialisten ze eerst moeten oplossen, meent Betz. Vorige week kondigde Microsoft al aan dat zijn Advanced Security Notificiation Service niet meer publiek beschikbaar wordt. Enkel wie een betalend ondersteuningscontract heeft en organisaties die betrokken zijn bij Microsofts securityprogramma’s zullen nog op de hoogte worden gebracht van updates voor Patch Tuesday.