Google devrait annoncer les vulnérabilités avant qu`elles ont été corrigées?

Google est imparable. En moins de trois semaines, Google a révélé un total de quatre zéro vulnérabilités jour affectant Windows, deux d`entre eux quelques jours avant que Microsoft était prêt à libérer un patch. Microsoft n`a pas été amusé et à en juger par la réaction de Google, plus ces cas sont susceptibles de suivre.

Contenu

Pourquoi google windows reporting vulnérabilités?
Ce qui est arrivé dans les coulisses?
Est-ce que le comportement de google acceptable?
Si cela se produit à nouveau, que pouvez-vous faire pour protéger votre système?
Notre verdict: google devrait avoir coopéré avec microsoft

Est-ce la manière de Google de l`enseignement de leur concurrence pour être plus efficace? Et les utilisateurs? L`observance stricte de Google à des délais arbitraires dans notre intérêt?

Pourquoi Google Windows Reporting vulnérabilités?

Project Zero, une équipe d`analystes de sécurité Google, a fait des recherches zéro exploits de jour depuis 2014. Le projet a été fondé après un groupe de recherche à temps partiel a identifié plusieurs bogues logiciels, y compris la critique vulnérabilité heartbleed.Qu`est-ce qu`une vulnérabilité Zero Day? [MakeUseOf Explique]Qu`est-ce qu`une vulnérabilité Zero Day? [MakeUseOf Explique]Lire la suite

Dans leur annonce Project Zero, Google a souligné que leur priorité était de faire leurs propres produits en sécurité. Étant donné que Google ne fonctionne pas dans le vide, leur recherche étend à tout logiciel leurs clients utilisent.

Jusqu`à présent, l`équipe a identifié plus de 200 bugs dans divers produits, y compris Adobe Reader, Flash, OS X, Linux et Windows. Chaque vulnérabilité est signalée au fournisseur de logiciels et ne reçoit une période de grâce de 90 jours, après quoi il est rendu public via le forum Google recherche sur la sécurité.

Ce bogue est soumis à un délai de divulgation de 90 jours. Si 90 jours se sont écoulées sans un patch largement disponible, le rapport de bogue sera automatiquement visible au public.

C`est ce qui est arrivé à Microsoft. Quatre fois. La première vulnérabilité de Windows (question n ° 118) a été identifié le 30 Septembre 2014 et a ensuite été publié le 29 Décembre 2014. Le 11 Janvier, quelques jours avant que Microsoft était prêt à pousser une solution via Patch Tuesday, la deuxième vulnérabilité (question n ° 123) a été rendue publique, le lancement d`un débat pour savoir si Google ne aurait pu attendre. Quelques jours plus tard, deux autres vulnérabilités (question n ° 128 & question n ° 138) est apparu sur la base de données publique, l`escalade de la situation.Windows Update: Tout ce que vous devez savoirWindows Update: Tout ce que vous devez savoirWindows Update est activée sur votre PC? Windows Update vous protège contre les failles de sécurité en gardant Windows, Internet Explorer et Microsoft Office à jour avec les derniers correctifs de sécurité et corrections de bugs.Lire la suite

hacked

Ce qui est arrivé dans les coulisses?

Le premier numéro (# 118) était une vulnérabilité d`élévation de privilèges critiques, montré à affecter de Windows 8.1. Selon The Hacker Nouvelles, il «pourrait permettre à un pirate de modifier le contenu ou même de prendre en charge les ordinateurs des victimes complètement, laissant des millions d`utilisateurs vulnérables« . Google n`a pas révélé de communication avec Microsoft au sujet de cette question.

Pour la deuxième question (# 123), Microsoft a demandé une prolongation, et quand Google a nié, ils ont fait des efforts pour libérer le patch un mois plus tôt. Ceux-ci ont été les commentaires de James Forshaw:

Microsoft a confirmé qu`ils sont sur la cible pour fournir des correctifs pour ces questions en Février 2015. Ils ont demandé si cela poserait un problème avec le délai de 90 jours. Microsoft ont été informés que le délai de 90 jours est fixé pour tous les fournisseurs et les classes de bugs et ne peut donc pas être prolongée. En outre, ils ont été informés que le délai de 90 jours pour cette question expire le 11 janvier 2015.

Microsoft a publié des correctifs pour les problèmes avec mise à jour mardi en Janvier.

Avec le troisième numéro (# 128), Microsoft a dû retarder un patch en raison de problèmes de compatibilité.

Microsoft nous a informés qu`un correctif a été prévu pour les correctifs de janvier, mais doit être tiré en raison de problèmes de compatibilité. Par conséquent, le correctif est désormais attendue dans les patches février.

Même si Microsoft a informé Google qu`ils travaillaient sur la question, mais face à des difficultés, Google a publié l`avant et la vulnérabilité. Aucune négociation, aucune pitié.

Pour le dernier numéro (n ° 138), Microsoft a décidé de ne pas corriger. James Forshaw a ajouté le commentaire suivant:

Microsoft a conclu que la question ne répond pas à la barre d`un bulletin de sécurité. Ils affirment que cela exigerait trop de contrôle de la part de l`attaquant et ils ne considèrent pas les paramètres de stratégie de groupe comme une caractéristique de sécurité.

Est-ce que le comportement de Google acceptable?

Microsoft ne le pense pas. Dans une réponse complète, Chris Betz, directeur principal du Centre de recherche de sécurité Microsoft, appelle à une meilleure coordination de la divulgation de la vulnérabilité. Il souligne que Microsoft croit en la divulgation coordonnée des vulnérabilités (MCV), une pratique dans laquelle les chercheurs et les entreprises collaborent sur les vulnérabilités pour minimiser les risques pour les clients.

En ce qui concerne les événements récents, Betz confirme que Microsoft spécifiquement demandé à Google de travailler avec eux et retenir les détails jusqu`à ce que des correctifs ont été distribués au cours de Patch Tuesday. Google a ignoré la demande.

Bien que par la suite ne cesse de calendrier annoncé de Google pour la divulgation, la décision se sent moins comme des principes et plus comme une « chasse aux sorcières », avec les clients ceux qui peuvent souffrir en conséquence.

Selon Betz, un acte à peine vu vulnérabilités révélées publiquement expérience attaques orchestrées de cyber-criminels, lorsque des problèmes sont divulgués en privé par maladies cardiovasculaires et patchés avant que l`information devient publique. En outre, dit Betz, pas toutes les vulnérabilités sont égalisés, ce qui signifie la ligne de temps dans lequel un problème se patché dépend de sa complexité.

corde rouge

Son appel à la collaboration est forte et claire et ses arguments sont solides. La réflexion qu`aucun logiciel est parfait parce qu`il est fait par les humains simples fonctionnant avec des systèmes complexes, est attachante. Betz frappe l`ongle sur la tête quand il dit:

Ce qui est bon pour Google n`est pas toujours bon pour les clients. Nous demandons instamment à Google de faire de la protection des clients notre principal objectif collectif.

L`autre point de vue est que Google a une politique établie et ne veut pas céder la place à des exceptions. Ce n`est pas le genre d`inflexibilité que vous attendez d`une société ultra moderne comme Google. Par ailleurs, la publication non seulement la vulnérabilité, mais aussi le code d`exploitation est irresponsable, étant donné que des millions d`utilisateurs pourraient se touché par une attaque concertée.

Si cela se produit à nouveau, Que pouvez-vous faire pour protéger votre système?

Aucun logiciel ne sera jamais à l`abri de zéro exploits de jour. Vous pouvez augmenter votre propre sécurité en adoptant une hygiène de sécurité de bon sens. C`est ce que Microsoft recommande:

Nous encourageons les clients à garder leur Logiciel antivirus à jour, installer tous disponibles à jour de sécurité et permettre à la pare-feu sur leur ordinateur.Le logiciel Best WindowsLe logiciel Best WindowsWindows nage dans une mer d`applications gratuites. Quels sont ceux qui peuvent vous faire confiance et ceux qui sont les meilleurs? Si vous n`êtes pas sûr ou besoin pour résoudre une tâche spécifique, consultez cette liste.Lire la suite

Notre Verdict: Google devrait avoir coopéré avec Microsoft

Google a collé à son échéance arbitraire, plutôt que d`être souple et d`agir dans le meilleur intérêt de leurs utilisateurs. Ils auraient pu prolongé la période de grâce pour révéler les vulnérabilités, en particulier après que Microsoft a communiqué que les correctifs étaient (presque) prêt. Si noble objectif de Google est de rendre Internet plus sûr, ils doivent être prêts à coopérer avec d`autres entreprises.

Pendant ce temps, Microsoft aurait pu jeter davantage de ressources au développement des correctifs. 90 jours est considérée comme un laps de temps suffisant par certains. En raison de la pression de Google, ils ont en fait pousser un patch en un mois plus tôt que prévu initialement. On dirait presque qu`ils ne sont pas donner la priorité à la question très assez à l`origine.

En général, si les signaux des fournisseurs de logiciels qu`ils travaillent sur la question, les chercheurs comme l`équipe Project Zero de Google devraient coopérer et de prolonger les périodes de grâce. Garder un bientôt être vulnérabilité patché le secret semble être plus sûr que d`attirer l`attention des pirates. Ne doit pas la sécurité des clients est la priorité absolue de toute entreprise?Utilisateurs Windows Attention: Vous avez un problème de sécurité grave Utilisateurs Windows Attention: Vous avez un problème de sécurité grave Lire la suite

Qu`est-ce que tu penses? Ce qui aurait été une meilleure solution ou Google ne faire la bonne chose après tout?