Microsoft har kritisert Googles Project Zero for å avsløre detaljer om sårbarheter i Microsofts produkt før Microsoft har fått gitt ut sikkerhetsfikser. Sikkerhetsforskerne i Project Zero følger et prinsipp om å avsløre detaljene om sårbarheter 90 dager etter at leverandøren har blitt varslet om dem.
I forbindelse med det første tilfellet skrev Microsofts Chris Betz at den avsløringen føltes mer som et forsøk på å peke nese enn som en tilfelle av å følge prinsipper. I ettertid har Google gjort det samme med ytterligere én sårbarhet, i tillegg til flere tilfeller hvor Microsoft ikke er enige i at det faktisk dreier seg om sårbarheter. Disse er markert som «WontFix» i oversikten.
Forholdet mellom Google og Microsoft er ikke alltid like hjertelig for tiden, og enkelte observatører har antydet at Google her har tatt hevn for noe som Microsoft angivelig har gjort tidligere.
OS X
Men dersom dette skulle være tilfellet, så startet det i så fall mot Apple. For mellom august og november i fjor avslørte Project Zero detaljene om i alle fall tre sårbarheter i OS X av varierende alvorlighetsgrad. De tre sikkerhetshullene er ifølge Google ennå ikke blitt fjernet.
Denne uken har listen blitt utvidet med ytterligere tre avsløringer av sårbarhetsdetaljer i OS X. Beskyttelse mot utnyttelse av den ene av dem kan dog muligens ha blitt innført i Yosemite-utgaven av operativsystemet.
Ingen av de tre sårbarhetene anses som veldig kritiske, siden en angriper fra før må ha en eller annen tilgang til systemet for å utnytte dem.
Fikset
Nå er ikke dette de eneste sårbarhetene Project Zero har avslørt detaljene om. Men av de til sammen 106 avsløringene om sårbarheter i programvare fra flere ulike leverandører, har de aller fleste sikkerhetshullene blitt fjernet – enkelte bare noen få dager etter at varselet ble sendt.
Leave a Reply