Prikaži glavni meni

Google objavio detalje o još dva 0-day baga u Windowsu

Vesti, 18.01.2015, 22:23 PM

Tenzije između Microsofta i Googlea dodatno su porasle kada je Google prošle nedelje objavio informacije o još dve ranjivosti u Windows 7 i Windows 8.

Googleovi istraživači su u utorak i u četvrtak objavili detalje o još dva nezakrpljena bezbednosna propusta nakon isteka roka od 90 dana koji je proizvođačima softvera odredio Google Project Zero koji po isteku tog roka automatski objavljuje informacije o bagovima.

Prvi bag pogađa samo Windows 7, dok je drugi ozbiljniji jer omogućava napadaču da oponaša ovlašćenog korisnika i da dešifruje ili šifruje podatke na Windows 7 ili Windows 8 uređajima.

Google je ovaj bag prijavio Microsoftu 17. oktobra prošle godine, da bi u četvrtak, prošle nedelje, kompanija i javno objavila detalje o tom bagu, kao i i proof-of-concept exploit.

Project Zero je sastavljen od nekoliko Googleovih inženjera koji se bave bezbednošću i koji su posvećeni istraživanju ne samo bezbednosnih propusta u Googleovom softveru, već i u softveru drugih proizvođača. Project Zero daje proizvođačima softvera rok od 90 dana, posle čega detalji o bagovima bivaju automatski objavljeni, zajedno sa uzorkom koda za napad, ako proizvođač do tada ne objavi zakrpu za bag.

Ovaj tim je prethodno objavio detalje o još dva baga u Windowsu - o jednom 29. decembra, a o drugom 11. januara. To je izazvalo ljutnju u Microsoftu koji je u postu na kompanijskom blogu okrivio Google da dovodi korisnike Windowsa u opasnost zbog toga što ove ranjivosti do tada nisu bile ispravljene.

Microsoft je ta dva propusta ispravio u utorak, kada je kompanija u redovnom mesečnom terminu objavila zakrpe za propuste u svom softveru.

Sledeći termin za objavljivanje zakrpa je 10. februar, kada će biti objavljena i zakrpa za ozbiljniji od ova dva propusta, dok drugi propust neće biti ispravljen jer iz Microsofta tvrde da taj propust nije bezbednosni rizik. Iako je bilo planirano da zakrpa za jedan od ta dva propusta bude objavljena u januaru, ona je povučena zbog problema sa kompatibilnošću.

Da sa ispravkom za ovaj propust nije bilo problema, Microsoft bi ga zakrpio pre objavljivanja detalja o njemu. Ovako je rok koji je dao Google Project Zero probijen.

I dok je prošli put Microsoft kritikovao Googleovu odluku, ovog puta je odgovor kompanije bio uzdržan i u njemu je samo rečeno da u Microsoftu ne znaju za sajber napade u kojima se koriste ovi propusti. U poslednjem saopštenju Google nije spomenut, ali time jaz koji postoji između politike dve kompanije nije rešen.

Google će po svemu sudeći nastaviti da objavljuje detalje o propustima koje proizvođači nisu ispravili, a posledica će biti da će Microsoftovi korisnici biti izloženi riziku zbog toga. Iako mnogi Googleovo ponašanje vide kao nepoželjno, ipak to nisu Googleovi korisnici već Microsoftovi, pa je time i problem Microsoftov a ne Googleov.

Ako se Google ne ubedi da promeni politiku, što je malo verovatno, onaj ko će morati da menja politiku je u tom slučaju Microsoft, što bi možda dovelo do toga da Microsoft objavljuje zakrpe i izvan redovnog mesečnog termina.