Microsoft raser: Google er til fare for it-sikkerheden

To dage før Microsoft udsender en rettelse til Windows 8.1, har Google offentliggjort sårbarheden. Det har bragt Redmond-firmaet op i det røde felt.

Der opdages til stadighed sikkerhedsfejl i den software, som vi anvender.

Nu er der dukket en stridighed op blandt to af de største it-aktører i forbindelse med den praksis, der er omkring offentliggørelse af sårbarheder.

Microsoft har rettet en skarp kritik af konkurrenten Google for at have offentliggjort en sårbarhed i Windows uden, at Microsoft var klar med en rettelse.

Microsoft argumenterer for, at offentliggørelse er udtryk for en alt for stivnakket holdning hos Google og, at det er til skade for it-sikkerheden.

Google siger omvendt, at Microsoft har kendt betingelserne til offentliggørelsen af sårbarheden i tre måneder.

Google fortæller om 0-dag
Google har valgt at frigive detaljerede oplysninger om en 0-dags sårbarhed, som optræder i Windows 8.1, bare to dage før rettelsen var klar til download.

Der er tale om en sårbarhed, som potentielt kan misbruges til rettighedseskalering, eller til at opnå uautoriseret adgang til følsomme data under Windows 8.1.

Offentliggørelsen sker 90 dage efter, at Google har varslet Microsoft om problemet, og det er netop denne tidsfrist, der er anledning til skænderiet mellem de to kæmper.

Normal Google-praksis er, at 90 dage efter en varsling om et sikkerhedsproblem, fortæller søgegiganten åbent om opdagelsen. Uanset om der er en rettelse eller ej.

Google skriver om Microsofts sikkerhedsproblemer i dette blogindlæg

Den offentliggørelse er Microsoft blevet godt og grundig sur over, og firmaet svarer igen på denne blog.

Microsoft har nemlig rettet fejlen i den tirsdagsopdatering, der er kommet den 13. januar, men allerede den 11. januar fremlagde Google altså de tekniske detaljer.

Til fare for brugerne
I blog-indlægget skriver Microsoft, at Googles opførsel sætter brugerne i en faresituation, fordi eventuelle hackere får anledning til at udnytte sikkerhedshullet, før der er en patch.

Mere specifikt mener Microsoft, at Google har overtrådt den såkaldte Coordinated Vulnerability Disclosure-praksis som mange it-selskaber har tilsluttet sig.

Aftalen angiver i korte træk at sikkerhedsforskere, der opdager sårbarheder, skal koordinere med produktleverandøren for at varetage sikkerheden til brugernes bedste.

Samtidig har Google sin egen praksis, der indebærer, at alle selskaber får 90 dage til at lappe et hul, der er opdaget af Googles folk.

Google har iværksat den praksis i forbindelse med det såkaldte Project Zero, hvor en gruppe forskere afdækker sårbarheder.

90-dagesreglen er implementeret for at lægge pres på selskaberne, så sikkerhedsfejl bliver rettet hurtigt.

Windows 8.1-hullet blev opdaget den 13. november 2014, og ifølge Googles beskrivelse fik Microsoft en frist til den 11. januar til at lukke hullet.

Så Microsoft stod altså i en situation, hvor man enten skulle udsende en opdatering uden for cyklus eller se til, mens Google ville fortæller om sårbarheden.

Til trods for at Microsoft udmærket har været bekendt med denne tidsfrist, er Redmond-selskabet langt fra tilfreds med søgegigantens opførsel i denne sag.

"Det, der er rigtigt for Google, er ikke altid rigtigt for brugerne. Vi opfordrer Google til at gøre beskyttelse af brugerne til en kollektiv opgave," skriver Microsoft.

Ekspert: Der kommer flere drillerier fra Google
Faktisk har Microsoft tidligere fortalt til Google, at hullet først ville blive lukket til februar, men da Microsoft fik et svar fra Google om, at 90-dages fristen ligger fast for alle, ændrede Microsoft sin udgivelse af lappen til januar.

På den måde har Googles pres på producenterne, for at få hurtige løsninger, vist sig effektiv.

Men de to dage, der skiller offentliggørelsen og patchen, kan virke som en ufleksibel holdning, der har til formål at drille Microsoft og skræmme Windows-brugerne, lyder det fra en ekspert.

"Google har udmærket været klar over, at Microsoft var på vej med en patch. Det er ikke særlig god stil, at firmaet fortæller om en 0-dagssårbarhed, der er på vej til at blive lukket. Det skaber usikkerhed blandt brugerne, og giver hackerne en åbning," siger Peter Kruse, der er sikkerhedsekspert i firmate CSIS.

Er det et generelt problem i sikkerhedsbranchen?

"Nej, det er det ikke. Der er generelt en god forståelse mellem konkurrenterne, der kan give plads til at få lukket sårbarheder på en fornuftig måde. Det er faktisk kun Google, der har bestemt sig for, at de vil gøre det på denne måde."

"De har allerede drillet Apple i en lignende episode, og der vil komme flere. Det er dårligt for it-sikkerheden som helhed," siger den danske sikkerhedsekspert. 

Læs også:
IBM-folk afslører: Microsoft lukker kritisk Windows-fejl efter 19 år


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
ED-Data A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital HowTo: Sikkerhedstrusler

Under corona-krisen er antallet af cybertrusler steget med 33 procent. Det er særligt phishing-angreb, som oversvømmer mange virksomheder i de her dage. Corona-virussen har skabt en ny mulighed for at lokke uopmærksomme internetbrugere til at klikke på inficerede links. Nogle virksomheder oplever at op mod halvdelen e-mails, der sendes til dem, kommer fra it-kriminelle.

19. august 2020 | Læs mere


Digital HowTo: ERP – få optimal udnyttelse af dine store mængder af værdifulde data i den digitale transformation

Få indblik i, hvordan alle virksomheder kan optimere deres kritiske processer og hvordan du realiserer det uforløste potentiale gennem denne procesoptimering. Du får indsigt i forretnings-processer, digital værdiskabelse og teknologi, der har hjulpet mange virksomheder på vej med deres digitale transformation.

20. august 2020 | Læs mere


Digital HowTo: Fremtidens It service management - optimer dit setup med de nyeste teknologier

Det er vigtigere end nogensinde at have styr på kerneopgaverne i virksomhedens it-drift. Fra monitorering af systemerne til udrulning af applikationer, håndtering af service desken og alle udfordringerne med it-sikkerheden. Kom og bliv klogere på mulighederne for automatisering og optimering med ITSM og den nyeste robotteknologi.

21. august 2020 | Læs mere






Computerworld
Tidligere Intel-udvikler: Derfor besluttede Apple sig for at droppe Intel
Det har vakt opsigt, at Apple har besluttet at droppe sin mangeårige samarbejdspartner Intel som leverandør af chip til Mac. Årsagen var helt konkret, fortæller tidligere Intel-topudvikler.
White paper
Mængden af skyggedata stiger voldsomt – få tips til hvordan du bekæmpe det
Moderne virksomheder er drevet af data. Men for at udnytte de data, skal de være tilgængelige for medarbejderne, kunderne og samarbejdspartnere – og det er bare de data, som it og virksomheden kender. For den eksplosive udvikling i cloud og data betyder også, at de fleste organisationer generer store mængder af ”skyggedata”, data som bliver delt, opbevaret og ofte glemt et sted i virksomhedens mange systemer. I dette whitepaper kan du derfor læse om omfanget af problemet med skyggedata i skyen samt få ideer til, hvordan du kan begrænse og beskytte det.