مايكروسوفت تنتقد جوجل لتسريبها معلومات عن خطأ في نظام التشغيل ويندوز 8.1

Microsoft ha criticado a Google por revelar públicamente una vulnerabilidad en Windows 8.1 antes de que tuviera la oportunidad de solucionarla. La falla, que podría permitir a un atacante obtener privilegios elevados en un sistema, fue reportada por el equipo Project Zero de Google el 29 de diciembre de 2023. Sin embargo, Microsoft dijo que solo se le dio un plazo de 90 días para solucionar el problema, que expiró el 27 de enero de 2024.

قال كريس بيتز، المدير الأول للاستجابة الأمنية في مايكروسوفت، في منشور على مدونة مايكروسوفت، إن سياسة جوجل للكشف عن الثغرات الأمنية تلقائيًا بعد 90 يومًا «أقل شبهاً بالمبادئ وأكثر شبهاً بـ «مسك الختام»، مع احتمال معاناة العملاء نتيجة لذلك. «. وجادل بأنه كان ينبغي على جوجل التنسيق مع مايكروسوفت والبائعين الآخرين لضمان حماية العملاء قبل نشر التفاصيل على الملأ.

وقال بيتز أيضًا إن مايكروسوفت تخطط لإصدار إصلاح للثغرة في 10 فبراير 2024، كجزء من دورة التحديثات الأمنية الشهرية. وقال إن إفصاح جوجل عرّض العملاء لخطر محتمل ولم يأخذ في الاعتبار تعقيد اختبار ونشر التصحيحات لملايين الأجهزة.

مشروع Google Project Zero هو فريق من الباحثين الأمنيين الذين يبحثون عن الثغرات الأمنية في منتجات البرمجيات الشائعة ويبلغون البائعين بها. يتبع الفريق سياسة منح البائعين مهلة 90 يوماً لإصلاح المشاكل، وبعد ذلك يقومون بنشر التفاصيل الفنية ورمز إثبات المفهوم على موقعهم الإلكتروني. تقول جوجل إن هذه السياسة مصممة لتحسين الشفافية والمساءلة في مجال الأمن وتشجيع البائعين على تصحيح منتجاتهم بشكل أسرع.

ومع ذلك، فقد انتقد بعض البائعين وخبراء الأمن شركة جوجل لكونها صارمة للغاية ولا تأخذ في الاعتبار التحديات الواقعية لتطوير ونشر التصحيحات. ويجادلون أيضًا بأنه لا ينبغي أن تكشف جوجل عن الثغرات الأمنية التي لا يستغلها المخترقون بشكل فعال، لأن ذلك قد يمنحهم ميزة على المدافعين.

اشتبكت مايكروسوفت وجوجل في الماضي بسبب مشكلات أمنية. في عام 2010، اتهمت جوجل شركة مايكروسوفت بنسخ نتائج البحث الخاصة بها واستخدامها في محرك البحث الخاص بها، Bing. وفي عام 2012، اتهمت مايكروسوفت جوجل بالتحايل على إعدادات الخصوصية لمستخدمي Internet Explorer وتتبع أنشطتهم على الإنترنت. في عام 2013، أطلقت مايكروسوفت حملة بعنوان «Scroogled»، والتي انتقدت جوجل لقيامها بفحص رسائل البريد الإلكتروني لمستخدمي Gmail لأغراض إعلانية.

أعربت شركة مايكروسوفت عن خيبة أملها من شركة جوجل لكشفها عن ثغرة في نظام التشغيل Windows 8.1 قبل يومين من إصدار تصحيح لها.

يتبع فريق Project Zero التابع لشركة Google، الذي يبحث عن الثغرات الأمنية في منتجات البرمجيات المختلفة، سياسة الكشف عن تفاصيل أي ثغرات بعد 90 يومًا من إخطار البائع.

لذا، عندما أُبلغت مايكروسوفت بوجود مشكلة في نظام التشغيل Windows 8.1 في 13 أكتوبر، طلبت من جوجل أن تبقي الأمر سريًا حتى 13 يناير، عندما خططت لطرح إصلاح المشكلة كجزء من تصحيحها المعتاد يوم الثلاثاء.

ومع ذلك، قررت جوجل نشر معلومات عن الثغرة (والرمز اللازم لاستغلالها) في 11 يناير.

«كتب مدير مركز الاستجابة الأمنية في مايكروسوفت كريس بيتز في منشور على مدونة: «نطلب من جوجل العمل معنا لحماية العملاء من خلال حجب التفاصيل حتى… نصدر إصلاحًا.

وأضاف أن هذا هو الوقت المناسب للباحثين في مجال الأمن وشركات البرمجيات للتعاون، وليس للانقسام حول استراتيجيات الحماية المهمة، مثل الكشف عن الثغرات الأمنية ومعالجتها.

قال بيتز إن مايكروسوفت تتبع ممارسة الإفصاح المنسق عن الثغرات الأمنية (CVD)، والتي تشجع أولئك الذين يعثرون على الثغرات الأمنية على الإبلاغ عن الثغرات مباشرةً إلى بائعي المنتجات المتأثرة، وذلك «للحد من الفرص المتاحة للعملاء وبياناتهم، من أجل حماية أفضل».