Microsoft предупреждали, что уязвимость в Windows будет раскрыта 11 января
В январе 2015 регулярные обновления безопасности от Microsoft сопряжены с недовольством и напряжением со стороны компании и многих пользователей. Это связано с тем, что впервые за очень длительный период времени большинство клиентов корпорации не получили предварительное уведомление о выпускаемых бюллетенях, а также с появлением в открытом доступе данных о критической уязвимости Windows за несколько дней до патча.
Неделю назад сотрудник Microsoft Security Response Center Крис Бетз (Chris Betz) опубликовал сообщение в блоге Technet о том, что в дальнейшем предварительное уведомление о бюллетенях безопасности будет получать только ограниченное число пользователей.
Попросту выражаясь, Microsoft станет делиться данными о будущих патчах только с доверенными клиентами, которым эта информация действительно нужна. Данный шаг может помешать некоторым корпорациям, которые использовали предварительное уведомление для подготовки к установке патчей, но в целом ситуация для кого-либо вряд ли изменится кардинально.
Самым важным событием, связанным с обновлениями безопасности в этом месяце, стала драма, разыгравшаяся между Microsoft и Google из-за бюллетеня MS15–003. Поисковый гигант внёс эту брешь в базу данных Security Research 13 октября прошлого года. По условиям работы сервиса, информация об уязвимости становится публично доступной через 90 дней после добавления.
Меньше чем через месяц после добавления информации об уязвимости в базу данных отдел безопасности Microsoft обратился к Google, заявив, что выход патча к ней должен произойти в феврале 2015 года. Данные об этом присутствуют на странице уязвимости в Google Security Research.
«Microsoft подтвердила намерение предоставить исправления данных ошибок в феврале 2015 года. Компания спросила, можно ли отложить крайний срок в 90 дней», — говорится в первом комментарии к уведомлению. За ним сразу последовал следующий: «Microsoft была уведомлена о том, что крайний срок в 90 дней распространяется на всех поставщиков и все классы уязвимостей, поэтому не может быть расширен. Мы дали понять, что крайний срок в 90 дней истекает 11 января 2015 года».
.600.jpg)
В результате Microsoft пришлось ускорить подготовку к выпуску патча и сделать его доступным месяцем ранее, но компания всё равно не успела — она выпускает обновления безопасности в каждый второй вторник месяца, в данном случае 13 января, на 2 дня позже, чем истёк 90-древный срок.
Google сдержала своё слово, и подробное описание уязвимости с работающим кодом эксплоита стали доступными всем желающим до выхода патча. Упомянутый выше Крис Бетс в ответ на действие Google опубликовал ещё одно сообщение в блоге Technet, в котором обвинил поисковую компанию в «попытке подловить» Microsoft, от которой страдают только пользователи (подробнее можно прочитать здесь).
Из этой истории можно сделать несколько интересных выводов. Во-первых, Microsoft всё же ускорила выход патча на месяц, что уже полезно для пользователей. Во-вторых, своими действиями компания показала, что вполне может не выпускать исправления для брешей целый квартал, даже если об уязвимости было известно давно (её существование было заявлено не только Google), что потенциально несёт в себе большую опасность.
Из-за данного инцидента вопросы политик безопасности, которыми руководствуются крупные поставщики ПО, сейчас очень активно обговаривается участниками рынка и экспертами ИБ.
Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Виджет от SocialMart
© 3DNews
