マイクロソフトのセキュリティチームはあまり満足していませんグーグル問題を修正する前にコンピュータ システムのセキュリティ ホールを明らかにしたことに対して。
Google は、攻撃者がシステムを制御できるようになる Windows 8.1 ログイン機能のバグを公表しました。この暴露は Google の一部によるものでしたプロジェクトゼロは、セキュリティ ホールを特定し、企業に対し、バグを発見してから 90 日以内にバグを公開し、パッチを適用するよう求める取り組みです。 Google がこのバグを初めて Microsoft に通知したのは 2014 年 10 月 13 日でした。
「このバグには 90 日の開示期限が設けられています」と Google は述べています。ブログ投稿マイクロソフトのバグについて。 「パッチが広く利用可能にならないまま 90 日が経過すると、バグ レポートが自動的に一般に公開されるようになります。」
しかしMicrosoftは、代表者らがGoogleに対し、90日の期限をわずか2日上回る1月13日まで延期するよう要請したと主張している。で声明日曜日に発表された記事では、MicrosoftのMicrosoft Security Response CenterシニアディレクターのChris Betz氏が、最終的に顧客に損害を与える厳しすぎる期限についてGoogleを叱責した。
具体的には、修正プログラムをリリースする 1 月 13 日火曜日まで詳細を差し控えることにより、お客様を保護するために Google と協力するよう Google に依頼しました。フォロースルーはGoogleが発表した開示スケジュールに従うものだが、この決定は原則というよりむしろ「落とし穴」のように感じられ、結果的に苦しむのは顧客である。 Google にとって正しいことが、顧客にとっても正しいとは限りません。私たちは Google に対し、顧客の保護を共通の第一の目標とするよう強く求めます。
これは、2回目ここ数週間で Google が Project Zero に関する Microsoft のバグを明らかにしました。 Betz 氏によると、セキュリティの脆弱性を修正することは「複雑で広範囲にわたり、時間のかかるプロセス」です。ベッツ氏は、すべての脆弱性が同じように作られるわけではないと述べ、単に90日の期限を守ることができなかった可能性をほのめかした。
GoogleはMashableのコメント要請にすぐには応じなかったが、以前のコメントでは役職Googleの場合、プロジェクト・ゼロの研究者ベン・ホークス氏は90日の猶予期間を擁護した。 Project Zero は Apple と Linux の運用における欠陥も指摘しています。
「総合的に見て、Project Zero は、現時点では開示期限がユーザーのセキュリティにとって最適なアプローチであると考えています。これにより、ソフトウェア ベンダーは公平かつ合理的な期間で脆弱性管理プロセスを実行できるようになり、同時にリスクを学び理解するユーザーの権利も尊重されます。」彼らは直面している」と彼は書いた。