İlan
Google durdurulamaz. Üç haftadan kısa bir süre içinde Google, Windows'u etkileyen dört sıfır güvenlik açığı ortaya çıkardı; bunlardan ikisi, Microsoft bir düzeltme eki yayınlamaya hazır olmadan iki gün önce. Microsoft, Google’ın tepkisiyle eğlendirilmedi ve yargılanmadı, daha fazla bu tür davaların gelmesi muhtemeldir.
Bu Google’ın rekabetlerini daha verimli olmayı öğretme şekli mi? Kullanıcılar ne olacak? Google’ın keyfi son teslim tarihlerine sıkı sıkıya bağlı kalması en iyi ilgimiz midir?
Google, Windows Güvenlik Açıklarını Neden Bildiriyor?
Sıfır ProjesiGoogle güvenlik analistlerinden oluşan bir ekip, sıfır gün istismarları Sıfır Gün Güvenlik Açığı Nedir? [Açıklamalar MakeUseOf] Daha fazla oku 2014'ten beri. Proje, yarı zamanlı bir araştırma grubunun, Heartbleed güvenlik açığı Heartbleed - Güvende Kalmak İçin Ne Yapabilirsiniz? Daha fazla oku .
Onların Project Zero duyurusuGoogle, önceliklerinin kendi ürünlerini güvenli hale getirmek olduğunu vurguladı. Google bir boşlukta çalışmadığından, araştırmaları müşterilerinin kullandığı yazılımlara kadar uzanır.
Şimdiye kadar, ekip Adobe Reader, Flash, OS X, Linux ve Windows dahil olmak üzere çeşitli ürünlerde 200'den fazla hata tespit etti. Her güvenlik açığı yalnızca yazılım satıcısına bildirilir ve 90 günlük yetkisiz kullanım süresi alır, ardından güvenlik açığı Google Güvenlik Araştırmaları forumu.
Bu hata 90 günlük bir son teslim tarihine tabidir. Geniş bir kullanılabilir yama olmadan 90 gün geçerse, hata raporu otomatik olarak herkese görünür hale gelir.
Microsoft'a olan buydu. Dört kere. İlk Windows güvenlik açığı (Sayı # 118) 30 Eylül 2014 tarihinde tanımlandı ve daha sonra 29 Aralık 2014'te yayınlandı. 11 Ocak'ta, Microsoft, Yama Salı Windows Update: Bilmeniz Gereken Her ŞeyPC'nizde Windows Update etkin mi? Windows Update, Windows, Internet Explorer ve Microsoft Office'i en son güvenlik yamaları ve hata düzeltmeleriyle güncel tutarak sizi güvenlik açıklarından korur. Daha fazla oku , ikinci güvenlik açığı (Sayı # 123) herkese açık hale getirildi ve Google'ın bekleyemeyeceği konusunda bir tartışma başlattı. Sadece günler sonra iki güvenlik açığı daha var (Sayı # 128 & Sayı # 138) durumu daha da arttırarak genel veritabanında göründü.
Perde Arkasında Ne Oldu?
İlk sorun (# 118), Windows 8.1'i etkilediği gösterilen kritik bir ayrıcalık yükselmesi güvenlik açığıydı. Göre Hacker Haberleri, o "bilgisayar korsanının içeriği değiştirmesine ve hatta kurbanların bilgisayarlarını tamamen ele geçirmesine izin vererek milyonlarca kullanıcıyı savunmasız bırakabilir“. Google, bu sorunla ilgili olarak Microsoft ile herhangi bir iletişimde bulunmadı.
İkinci sayı için (# 123), Microsoft bir uzantı istedi ve Google bunu reddettiğinde, yamayı bir ay önce yayınlamaya çalıştılar. Bunlar James Forshaw’ın yorumlarıydı:
Microsoft, Şubat 2015'te bu sorunların giderilmesini hedeflediklerini doğruladı. Bunun 90 günlük süre içinde bir soruna neden olup olmayacağını sordular. Microsoft, 90 günlük son tarihin tüm satıcılar ve hata sınıfları için sabit olduğu ve bu nedenle genişletilemeyeceği konusunda bilgilendirildi. Ayrıca, bu konuyla ilgili 90 günlük sürenin 11 Ocak 2015'te sona erdiği bildirildi.
Microsoft, her iki sorun için düzeltme eklerini Ocak Salı günü yayımladı.
Üçüncü sorunla (# 128), Microsoft uyumluluk sorunları nedeniyle bir yamayı ertelemek zorunda kaldı.
Microsoft, Ocak düzeltme ekleri için bir düzeltme planlandığını ancak uyumluluk sorunları nedeniyle alınması gerektiğini bildirdi. Bu nedenle, düzeltmenin şimdi Şubat yamalarında yapılması bekleniyor.
Microsoft, Google'a bu konuda çalıştıklarını bildirmesine rağmen, zorluklarla karşılaşsa da, Google devam etti ve güvenlik açığını yayınladı. Müzakere yok, merhamet yok.
Son sayı (# 138) için Microsoft sorunu gidermemeye karar verdi. James Forshaw şu yorumu ekledi:
Microsoft, sorunun bir güvenlik bülteni çubuğunu karşılamadığı sonucuna varmıştır. Saldırgan tarafından çok fazla kontrol gerektireceğini ve grup politikası ayarlarını bir güvenlik özelliği olarak görmediklerini belirtirler.
Google’ın Davranışı Kabul Edilebilir mi?
Microsoft öyle düşünmüyor. Kapsamlı bir yanıt olarak, Microsoft Güvenlik Araştırma Merkezi Kıdemli Müdürü Chris Betz daha iyi koordine edilmiş bir güvenlik açığı açıklaması. Microsoft'un Koordineli Güvenlik Açığı Açıklaması (CVD), araştırmacıların ve şirketlerin müşteriler için riski en aza indirmek için güvenlik açıkları üzerinde işbirliği yaptığı bir uygulamadır.
Son olaylarla ilgili olarak Betz, Microsoft'un Google'dan özellikle onlarla çalışmasını istediğini ve düzeltmeleri Salı Yaması sırasında dağıtılana kadar ayrıntıları sakladığını doğruladı. Google isteği yok saydı.
Her ne kadar takip etmek Google’ın açıklanan açıklama zaman çizelgesine uysa da, karar daha az prensiplere ve daha çok bir "gotcha" gibi hissettirir ve sonuç olarak acı çekebilecek müşterilerle birlikte.
Betz'e göre, kamuya açıklanmış güvenlik açıkları siber suçlulardan gelen orkestra saldırıları yaşıyor, Sorunlar CVD yoluyla özel olarak ifşa edildiğinde ve bilgi ortaya çıkmadan önce yamalandığında zor görülüyor halka açık. Ayrıca Betz, tüm güvenlik açıklarının eşit yapılmadığını, yani bir sorunun yamalandığı zaman çizelgesinin karmaşıklığına bağlı olduğunu söylüyor.
İşbirliği çağrısı yüksek ve net ve argümanları sağlam. Hiçbir yazılımın mükemmel olmadığı yansımasıdır çünkü karmaşık sistemlerle çalışan basit insanlar tarafından yapılmıştır. Betz şöyle dediğinde kafasına çiviyi vurur:
Google için doğru olan her zaman müşteriler için doğru değildir. Google'ı müşterileri korumayı ortak birincil hedefimiz yapmaya teşvik ediyoruz.
Diğer bir bakış açısı ise Google'ın belirlenmiş bir politikası var ve istisnalara yol vermek istemiyor. Bu, Google gibi ultra modern bir şirketten bekleyeceğiniz türden bir esneklik değil. Ayrıca, milyonlarca kullanıcının uyumlu bir saldırıdan etkilenebileceği göz önüne alındığında, sadece güvenlik açığını değil, istismar kodunu da yayınlamak sorumsuzdur.
Bu Tekrar Olursa, Sisteminizi Korumak İçin Ne Yapabilirsiniz?
Hiçbir yazılım sıfır gün istismarlarından korunmayacaktır. Sağduyulu bir güvenlik hijyeni uygulayarak kendi güvenliğinizi artırabilirsiniz. Microsoft'un önerdiği şey budur:
Müşterileri, antivirüs yazılımı Windows Bilgisayarınız İçin En İyi PC YazılımıWindows bilgisayarınız için en iyi PC yazılımını mı istiyorsunuz? Büyük listemiz tüm ihtiyaçlar için en iyi ve en güvenli programları toplar. Daha fazla oku güncel, mevcut tüm Güvenlik Güncellemelerini yükle En Son Windows Güvenlik Yamalarını ve Güncellemelerini Çalıştırmanızın 3 NedeniWindows işletim sistemini oluşturan kod, güvenlik döngüsü delikleri, hatalar, uyumsuzluklar veya güncel olmayan yazılım öğeleri içerir. Kısacası, Windows mükemmel değil, hepimiz bunu biliyoruz. Güvenlik yamaları ve güncellemeleri güvenlik açıklarını giderir ... Daha fazla oku ve etkinleştir güvenlik duvarı Windows Bilgisayarınız İçin En İyi PC YazılımıWindows bilgisayarınız için en iyi PC yazılımını mı istiyorsunuz? Büyük listemiz tüm ihtiyaçlar için en iyi ve en güvenli programları toplar. Daha fazla oku bilgisayarlarında.
Kararımız: Google, Microsoft ile İşbirliği Yapmalı
Google, esnek olmak ve kullanıcılarının çıkarlarına en uygun şekilde hareket etmek yerine keyfi son tarihine bağlı kaldı. Bu güvenlik açıklarını ortaya çıkarma yetkisini, özellikle Microsoft yamaların (neredeyse) hazır olduğunu bildirdikten sonra uzatabilirlerdi. Google’ın asil amacı interneti daha güvenli hale getirmekse, diğer şirketlerle işbirliği yapmaya hazır olmaları gerekir.
Bu arada Microsoft, yama geliştirme konusunda muhtemelen daha fazla kaynak fırlatabilirdi. 90 gün bazıları tarafından yeterli bir zaman dilimi olarak kabul edilir. Google'dan gelen baskı nedeniyle, aslında başlangıçta tahmin edilenden bir ay önce bir yama çıkardı. Neredeyse konuyu başlangıçta yeterince önceliklendirmedikleri anlaşılıyor.
Genel olarak, yazılım satıcısı sorun üzerinde çalıştıklarını belirtirse, Google’ın Project Zero ekibi gibi araştırmacılar işbirliği yapmalı ve ek süreleri uzatmalıdır. Yakında olmak yamalı güvenlik açığı Windows Kullanıcıları Dikkat: Ciddi Bir Güvenlik Sorununuz Var Daha fazla oku sır, bilgisayar korsanlarının dikkatini çekmekten daha güvenli görünüyor. Müşteri güvenliği herhangi bir şirketin önceliği olmamalı mı?
Ne düşünüyorsun? Daha iyi bir çözüm ne olurdu veya sonuçta Google doğru şeyi yaptı mı?
Resim Kredileri: sihirbaz Shutterstock üzerinden, Wk1003mike tarafından Shutterstock ile saldırıya uğradı, Shutterstock üzerinden Mega Piksel Kırmızı Halat
Tina on yılı aşkın bir süredir tüketici teknolojisi hakkında yazıyor. Doğa Bilimleri Doktorası, Almanya Diploması ve İsveç Yüksek Lisans derecesine sahiptir. Analitik geçmişi, şimdi anahtar kelime araştırmalarını ve operasyonlarını yönettiği MakeUseOf'ta bir teknoloji gazetecisi olarak mükemmelliğine yardımcı oldu.
