Søg

Microsoft raser: Google er til fare for it-sikkerheden

To dage før Microsoft udsender en rettelse til Windows 8.1, har Google offentliggjort sårbarheden. Det har bragt Redmond-firmaet op i det røde felt.

14. januar 2015 kl. 15.10
Artikel top billede
Nicolai Devantier Nicolai Devantier Journalist

Der opdages til stadighed sikkerhedsfejl i den software, som vi anvender.

Nu er der dukket en stridighed op blandt to af de største it-aktører i forbindelse med den praksis, der er omkring offentliggørelse af sårbarheder.

Microsoft har rettet en skarp kritik af konkurrenten Google for at have offentliggjort en sårbarhed i Windows uden, at Microsoft var klar med en rettelse.

Microsoft argumenterer for, at offentliggørelse er udtryk for en alt for stivnakket holdning hos Google og, at det er til skade for it-sikkerheden.

Google siger omvendt, at Microsoft har kendt betingelserne til offentliggørelsen af sårbarheden i tre måneder.

Google fortæller om 0-dag

Google har valgt at frigive detaljerede oplysninger om en 0-dags sårbarhed, som optræder i Windows 8.1, bare to dage før rettelsen var klar til download.

Der er tale om en sårbarhed, som potentielt kan misbruges til rettighedseskalering, eller til at opnå uautoriseret adgang til følsomme data under Windows 8.1.

Offentliggørelsen sker 90 dage efter, at Google har varslet Microsoft om problemet, og det er netop denne tidsfrist, der er anledning til skænderiet mellem de to kæmper.

Normal Google-praksis er, at 90 dage efter en varsling om et sikkerhedsproblem, fortæller søgegiganten åbent om opdagelsen. Uanset om der er en rettelse eller ej.

Google skriver om Microsofts sikkerhedsproblemer i dette blogindlæg

Den offentliggørelse er Microsoft blevet godt og grundig sur over, og firmaet svarer igen på denne blog.

Microsoft har nemlig rettet fejlen i den tirsdagsopdatering, der er kommet den 13. januar, men allerede den 11. januar fremlagde Google altså de tekniske detaljer.

Til fare for brugerne

I blog-indlægget skriver Microsoft, at Googles opførsel sætter brugerne i en faresituation, fordi eventuelle hackere får anledning til at udnytte sikkerhedshullet, før der er en patch.

Mere specifikt mener Microsoft, at Google har overtrådt den såkaldte Coordinated Vulnerability Disclosure-praksis som mange it-selskaber har tilsluttet sig.

Aftalen angiver i korte træk at sikkerhedsforskere, der opdager sårbarheder, skal koordinere med produktleverandøren for at varetage sikkerheden til brugernes bedste.

Samtidig har Google sin egen praksis, der indebærer, at alle selskaber får 90 dage til at lappe et hul, der er opdaget af Googles folk.

Google har iværksat den praksis i forbindelse med det såkaldte Project Zero, hvor en gruppe forskere afdækker sårbarheder.

90-dagesreglen er implementeret for at lægge pres på selskaberne, så sikkerhedsfejl bliver rettet hurtigt.

Windows 8.1-hullet blev opdaget den 13. november 2014, og ifølge Googles beskrivelse fik Microsoft en frist til den 11. januar til at lukke hullet.

Så Microsoft stod altså i en situation, hvor man enten skulle udsende en opdatering uden for cyklus eller se til, mens Google ville fortæller om sårbarheden.

Til trods for at Microsoft udmærket har været bekendt med denne tidsfrist, er Redmond-selskabet langt fra tilfreds med søgegigantens opførsel i denne sag.

"Det, der er rigtigt for Google, er ikke altid rigtigt for brugerne. Vi opfordrer Google til at gøre beskyttelse af brugerne til en kollektiv opgave," skriver Microsoft.

Ekspert: Der kommer flere drillerier fra Google
Faktisk har Microsoft tidligere fortalt til Google, at hullet først ville blive lukket til februar, men da Microsoft fik et svar fra Google om, at 90-dages fristen ligger fast for alle, ændrede Microsoft sin udgivelse af lappen til januar.

På den måde har Googles pres på producenterne, for at få hurtige løsninger, vist sig effektiv.

Men de to dage, der skiller offentliggørelsen og patchen, kan virke som en ufleksibel holdning, der har til formål at drille Microsoft og skræmme Windows-brugerne, lyder det fra en ekspert.

"Google har udmærket været klar over, at Microsoft var på vej med en patch. Det er ikke særlig god stil, at firmaet fortæller om en 0-dagssårbarhed, der er på vej til at blive lukket. Det skaber usikkerhed blandt brugerne, og giver hackerne en åbning," siger Peter Kruse, der er sikkerhedsekspert i firmate CSIS.

Er det et generelt problem i sikkerhedsbranchen?

"Nej, det er det ikke. Der er generelt en god forståelse mellem konkurrenterne, der kan give plads til at få lukket sårbarheder på en fornuftig måde. Det er faktisk kun Google, der har bestemt sig for, at de vil gøre det på denne måde."

"De har allerede drillet Apple i en lignende episode, og der vil komme flere. Det er dårligt for it-sikkerheden som helhed," siger den danske sikkerhedsekspert. 

Læs også:
IBM-folk afslører: Microsoft lukker kritisk Windows-fejl efter 19 år

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Cyber Security Festival 2025

    Event: Cyber Security Festival 2025

    Sikkerhed | København

    Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.200 it-professionelle. Du kan glæde dig til oplæg fra mere end 50 talere og møde mere end 30 leverandører over to dage.

    4. & 5. november 2025 | Gratis deltagelse

    Jyske Bank

    Forretningsudvikler til Team Investeringsprodukter i Wealth rådgivning

    Midtjylland

    Styrelsen For It og Læring

    Ambitiøs it-arkitekt til tværgående arkitekturenhed

    Københavnsområdet

    Netcompany A/S

    Software Developer

    Midtjylland

    TV2

    Android App Developer til TV 2

    Fyn

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Netip A/S har pr. 19. august 2025 ansat Carl Severin Degn Nørlyng som IT-Supporterelev ved afd. Thisted og afd. Herlev. Nyt job

    Carl Severin Degn Nørlyng

    Netip A/S

    Signifly har pr. 1. august 2025 ansat Anders Kirk Madsen som Tech Lead. Anders skal især beskæftige sig med at hjælpe Signiflys offentlige og private kunder med at styrke forretningen gennem teknisk solide løsninger. Anders kommer fra en stilling som Business Architect hos SOS International. Nyt job

    Anders Kirk Madsen

    Signifly

    Norriq Danmark A/S har pr. 1. september 2025 ansat Ahmed Yasin Mohammed Hassan som Data & AI Consultant. Han kommer fra en stilling som selvstændig gennem de seneste 3 år. Han er uddannet cand. merc. i Business Intelligence fra Aarhus Universitet. Nyt job

    Ahmed Yasin Mohammed Hassan

    Norriq Danmark A/S

    Netip A/S har pr. 1. september 2025 ansat Astrid Busk Nielsen som Key Account Manager ved netIP's kontor i Odense. Hun kommer fra en stilling som Account Manager hos IT-virksomheden ED i Skødstrup. Hun er uddannet indenfor handel og marketing. Nyt job

    Astrid Busk Nielsen

    Netip A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Microsoft åbner for lynhurtigt WiFi i Windows 11: Sådan får du den bedste forbindelse
    2 Flere og flere danske myndigheder fravælger Microsoft og går open source – men techgiganten har forberedt sig i årevis
    3 Højesteret slår fast: Google skal gennemføre kæmpe Android-ændring om få uger
    4 Hun vil ændre statens og kommunernes it-indkøb: ”Jeg er gået ind i det her med en kæmpe indignation”
    5 Test: Her er hovedtelefonen til dig, der vil have total stilhed på rejsen
    6 Morgen-briefing: Deloitte erkender brug af AI i fejlfyldt regeringsrapport: Skal tilbagebetale million-beløb / Kim fra Thyholm har lavet sit eget sociale medie og har allerede tusindvis af brugere / I dag åbner Folketinget
    7 Derfor rydder Norlys’ fiberforretning med Carsten Bryder i spidsen ud i gamle teknologier og skruer op for internet-hastigheden
    8 Hackere hævder at have stjålet en milliard kundedata fra Ikea og 38 andre Salesforce-kunder

    Se seneste uge