Hirdetés
. Hirdetés

Három új Windows sérülékenységet fedett fel a Google

|

A Microsoft azonban nem javítja őket, mert veszélyességi fokuk nem éri el az ingerküszöböt.

Hirdetés

Ezzel válaszoltak a redmondiak a Google biztonsági csapatának múlt pénteki bejelentésére, amelyben három újabb Windows sérülékenység adatait hozták nyilvánosságra, 90 nappal azt követően, hogy azokat jelentették a Microsoftnak.

Nem az első üzenetváltás ez ebben a témában a két cég között. A Google szoftverbiztonsági mérnökeinek csapata, a Project Zero, amely a cég saját szoftverei mellett más szállítók termékeit is vizsgálja, december 29. óta több Windows sérülékenység részleteit is a nyilvánosság elé tárta, még mielőtt azokat a Microsoft kijavította volna. A Project Zero szabályzata szerint erre ugyanis automatikusan sor kerül 90 nappal azt követően, hogy az adott szoftver szállítóját tájékoztatták a felfedezett sérülékenységről.

 

A most nyilvánosságra hozott, három új sérülékenység is a Windows jogosultságkezelő szolgáltatását érinti, a Google biztonsági szakemberei information disclosure és elevation of privilege típusú bugként határozták meg őket, amelyek a Microsoft veszélyességi fokot értékelő skáláján jellemzően fontos besorolást kapnak. Ezúttal azonban Redmond nem ad ki javítást hozzájuk, mivel nem jelentenek komoly kockázatot a biztonságra nézve. A Google magyarázata szerint a Microsoft úgy látja, hogy a támadónak túl nagy kontrollt kellene szereznie a rendszer felett ahhoz, hogy ezeket a sérülékenységeket kihasználhassa.

Korábban azonban másképp reagált a Microsoft, a nyilvánosságra hozott sérülékenységeket javította, és a Google fejére olvasta, hogy veszélyezteti a felhasználók biztonságát. A Project Zero csapata azzal védi gyakorlatát, hogy a 90 napos határidő kellő időt hagy a szoftverszállítóknak, hogy befoltozzák a biztonsági réseket, ugyanakkor a felhasználók érdekeit is szem előtt tartja, akiknek jogukban áll, hogy értesüljenek a biztonságukat fenyegető kockázatokról. Ezzel együtt a Google folyamatosan monitorozza a 90 napos szabály hatását, és ha szükségesnek látja, változtat rajta.

A biztonsági szakértők egy része egyetért a Google-lel, mondván, hogy napjainkban a megváltozott körülmények hatására a szoftverjavítás folyamatának is fel kell gyorsulnia, más szakértők azonban úgy ítélik, hogy az internetóriás cég gyakorlata önkényes, és céljával ellentétben gyengíti a védekezés hatékonyságát. Hogy melyik félnek lehet igaza – ha egyáltalán igaza lehet valamelyiküknek –, az talán kevésbé fontos, mint az a körülmény, hogy a Project Zero olyan területre, a szoftversérülékenységekre vonatkozó információk kezelésére hívta fel az IT-biztonsági szakemberek figyelmét, amely az utóbbi időben kissé háttérbe szorult.

Hirdetés
Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://www.computertrends.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.