Google zverejnil chybu vo Windowse skôr, než ju Microsoft opravil

Google v rámci iniciatívy Project Zero informuje o chybách, ktoré tvorcovia softvéru počas 90 dní od ich objavenia neopravili. Urobil tak aj v prípade chyby v systéme Windows 8.1. Microsoft Google obviňuje, že tým sám vystavil užívateľov riziku.

13.01.2015 13:25
binárny kód, bezpečnosť, internet, zdrojový... Foto:
Ilustračné foto
debata (4)

O mnohých bezpečnostných chybách v softvéri vrátane operačného systému sa užívateľ zvyčajne dozvie až po tom, čo jeho tvorca vydá bezpečnostnú aktualizáciu, ktorá má za cieľ chyby opraviť. O tom, koľko času uplynie medzi ich objavením a opravou a koľko času mali útočníci na to, aby chybu využili vo svoj prospech, však už nezistí. Môže ísť o hodiny, dni, týždne, mesiace, či vo výnimočných prípadoch aj roky. Google sa v rámci svojej iniciatívy Project Zero rozhodol motivovať iné softvérové k tomu, aby sa s bezpečnostnými problémami vysporiadali rýchlejšie ako majú vo zvyku a nevystavovali tak užívateľov zbytočnému riziku.

Google chce verejnosť informovať o chybách, ktoré tvorcovia nezaplátali
Project Zero má pritom rovnako veľa priaznivcov ako aj odporcov, tak z kruhov firiem ako aj odborníkov na bezpečnosť. Niektorí obviňujú Google z toho, že ide len o populistickú a veľmi povrchnú iniciatívu, ktorá nezohľadňuje napríklad skutočnosť, koľko času vývojárom potrvá, kým chybu opravia. “Google nemá k dispozícii kódy celého operačného systému, takže nemá ani len predstavu, aké množstvo iného kódu musí spoločnosť prepísať, aby konkrétny problém opravila,” uviedol server BBC vyjadrenie jedného z vývojárov, ktorí kroky Googlu odsudzujú. Zástancovia zas tvrdia, že Google nie je ten zlý. “Microsoft jednoducho zaspal na vavrínoch a neopravil chybu včas.” V skutočnosti dáva Google tvorcom softvéru až 90 dní na to, aby objavený problém opravili.

Microsoft tvrdí, že chybu intenzívne opravoval a Google žiadal o spoluprácu
V konkrétnom prípade Google objavil bezpečnostnú chybu v systéme Windows 8.1 už 13. októbra minulého roka. Chyba sa týkala jedného z komponentov jadra operačného systému, zodpovedného za ukladanie údajov do medzipamäte pre potreby ich zdieľania medzi viacerými procesmi. V skutku nenápadná chyba ale mohla útočníkom umožniť spúšťať v systéme nové procesy s právami administrátora a získať tak kontrolu nad systémom.

Microsoft 11. januára o chybe informoval verejnosť. Spoločnosť ale podľa vlastných slov v predstihu Google požiadala, aby s publikovaním správy počakal do 13. januára, kedy plánovala vydať aktualizáciu. Google tak neurobil a podľa Microsoftu tak sám vystavil užívateľov riziku.

© Autorské práva vyhradené

4 debata chyba
Viac na túto tému: #Google #Microsoft #Windows 8.1 #Project Zero #bezpečnostná chyba