Bizonyára sokan hallották a hírt, hogy a Google - miután lejárt a 90 napos határidő - szépen kitálalt a Windows egyik sebezhetőségéről: az ügynek azonban még nincs vége.
Több helyen rögtön szépen leírták a Microsoftot, amiért a legutóbb nem javított ki egy sérülékenységet a Windows rendszerében a Google által megadott, értesítés utáni 90 napos kereten belül, de tényleg csak a Microsoft a hibás? Persze, ezek olyan dolgok, amikkel haladni kell és ha súlyos sebezhetőségről van szó, akkor azt minél gyorsabban orvosolni kell, különben ezek a sérülékenységek elég nagy károkat okozhatnak mind az egyszerű otthoni felhasználóknak, mind az üzleti felhasználóknak.
Több helyen rögtön szépen leírták a Microsoftot, amiért a legutóbb nem javított ki egy sérülékenységet a Windows rendszerében a Google által megadott, értesítés utáni 90 napos kereten belül, de tényleg csak a Microsoft a hibás? Persze, ezek olyan dolgok, amikkel haladni kell és ha súlyos sebezhetőségről van szó, akkor azt minél gyorsabban orvosolni kell, különben ezek a sérülékenységek elég nagy károkat okozhatnak mind az egyszerű otthoni felhasználóknak, mind az üzleti felhasználóknak.
Ezt a javítást a Microsoftnak valamilyen oknál fogva nem sikerült 90 napon belül eljuttatni a felhasználókhoz.
Nézzük meg, mire elég a 90 nap. A Windows nem egy darab egyetlen futtatható fájlból álló program amit csak úgy el lehet bármilyen gépen futtatni, nyilván idő kell ahhoz, hogy ha tudjuk, hogy hol a rés (ugyanis a Google ezt elvileg minden részlettel együtt elküldte a Microsoftnak), akkor azt egy ekkora rendszerben további problémák okozása nélkül befoltozzuk a megfelelő módon. Elvileg erre, illetve arra, hogy a sérülékenység javítását leteszteljék (hogy ahol eddig működött a Windows, ott továbbra is működjön) és a Windows Update szervereire feltegyék, van 90 napja a vállalatnak. Nézőpont kérdése, ennyi dolgozóval biztos meg lehet oldani határidőn belül és éppen ezért itt valószínűleg a Microsoft a felelős a következményekért. (Mondjuk nyilván nem csak a Windows 8.1 foltozásán dolgozik a Microsoft)
Amivel viszont nem értek egyet, az a Google módszere: ha lejárt a 90 nap, akkor nem hogy a sebezhetőség helyét megadták, még eszközt (konkrétan egy "proof-of-concept" (bizonyítékként szolgáló), működőképes kódot) is biztosítottak annak kihasználására, vagyis, a sérülékenység valódiságának letesztelésére. Ezt így konkrétan bárki letölthette, gyors lefuttathatta a compileren (program, ami a kódot egy futtatható szoftverré alakítja) a mintakódot és volt egy működőképes exploit (biztonsági rést kihasználó program) a kezében. Ezt csak egy kevés ésszel át kell alakítani és ott van a kulcs a kezünkben (a sérülékenység súlyosságától függően), hogy feltörjük mások gépét.
Most a Microsoft visszavágott, ugyanis volt még egy sérülékenység, amit a Google "Project Zero"-ja úgyszintén felfedezett és továbbított a Microsoftnak egy január 11-ei határidővel. A Microsoft megkérte a Google-t, hogy ne tegyék nyilvánossá a sérülékenységet, mert január 13-án a Patch Tuesday (vagy Update Tuesday) keretében (a Microsoft kéthetente, keddenként adja ki a javításokat a Windowshoz a Windows Update-en keresztül) közzétennék a javítást, de a Google-nél a határidő az határidő, mint az általános iskolában és a sérülékenységet nyilvánosan elérhetővé és kijátszhatóvá tették.
Személy szerint én nem értek egyet ezzel a szigorú határidő-dologgal, pláne ha valaki külön megkér, hogy várjuk mindössze két napot a frissítésre. Egyes hírek szerint a Google fontolóra vette a 90 nap kiterjesztését, vagy legalább rugalmasabbá tételét, de egyelőre azt játsszák, hogy akármit csinálunk, ha nincs kint a frissítés 90 napon belül, így járt a Microsoft, és ezzel így járt rengeteg felhasználó is, akiknek emiatt veszélyben vannak az adatai. A Microsoft egyik embere, Chris Betz, az ügyet nyilvánosság elé hozta a Microsoft Security Response Center (MSRC) oldalán egy blogbejegyzésben. A következőket írta:
A döntés elvek helyett inkább egy "megvagytok"-nak ("gotcha") tűnik, így, hogy a felhasználók azok, akik ennek az eredményét elszenvedik.
A bejegyzést folytatta:
Ami jó a Google-nek, nem biztos, hogy jó a felhasználóknak is. Arra ösztökéljük a Google-t, hogy a felhasználók védelmét tűzze ki elsődleges, közös célunkként.
Nem az a véleményem, hogy csak a Google hibázott, mert tény, hogy a Microsoft nem volt képes időben kijavítani egy sérülékenységet, de ezt pont olyankor tették eléjük, amikor valószínűleg a teljes operációs rendszerrel foglalkozó részleg a Windows 10 asztali és mobilos változatának előkészítésével van elfoglalva, hogy január 21-én minden a legnagyobb rendben menjen. Talán mindketten változtathattak volna a stratégián, de ha belegondolunk, a Google-nek semmibe nem került volna nem nyilvánosságra hozni ezeket az információkat, pláne nem a kihasználásukhoz szükséges kóddal, amit megspóroltak a hackereknek (akik így nem fognak órákat/napokat azzal tölteni, hogy megírják a hozzá szükséges programot). Talán ők is viselkedhettek volna egy kicsit érettebben, főleg, hogy ez nem csak arról szól, hogy hogyan szúrjunk ki a vetélytárssal.
Forrás: The Register | Sophos Naked Security
