Microsoft odchodzi od strategii Responsible Disclosure

26-07-2010, 12:03

Gigant z Redmond poinformował o zmianie podejścia do upubliczniania informacji o lukach w oprogramowaniu. Dotychczas Microsoft promował tzw. odpowiedzialne ujawnianie (Responsible Disclosure), które miało polegać na powiadomieniu producenta o znalezionym błędzie i zaczekaniu, aż ten przygotuje poprawkę, co w wielu przypadkach mocno się przeciągało. Jak będzie teraz?

Nowa strategia nosi nazwę Coordinated Vulnerability Disclosure (CVD), jej charakterystykę podali w ubiegłym tygodniu na firmowych blogach Matt Thomlinson i Katie Moussouris. Tak jak wcześniej, Microsoft stawia na współpracę odkrywcy luki z producentem wadliwego oprogramowania. Znalezione podatności będzie można zgłaszać bezpośrednio albo za pośrednictwem zaufanej organizacji, takiej jak np. CERT-CC.

Strony będą mogły ustalić termin ujawnienia szczegółów danej luki. Jedyną różnicą w porównaniu do Responsible Disclosure zdaje się być możliwość upublicznienia tych informacji, jeśli okaże się, że podatność jest już aktywnie wykorzystywana przez cyberprzestępców.

>> Czytaj: Microsoft zamiast poprawki proponuje zmianę ustawień (wideo)

Zespół bezpieczeństwa firmy Google proponował niedawno ustalenie terminu, po upływie którego odkrywca luki zyskiwałby prawo do ujawnienia jej - bez względu na to, czy producent aplikacji przygotował stosowną poprawkę, czy też nie. Według Google Security Team opracowanie patcha nie powinno trwać dłużej niż 60 dni. Microsoft nie uwzględnił jednak tego postulatu w CVD.

Rzekoma zmiana strategii ma zapewne związek z upublicznieniem informacji o błędzie w Centrum pomocy i obsługi technicznej, który zagrażał użytkownikom systemów Windows XP i Windows Server 2003. Na początku czerwca dokonał tego jeden z pracowników Google - Tavis Ormandy, co spotkało się z ostrą krytyką ze strony Microsoftu, doprowadziło jednak do załatania luki.

Na uwagę zasługują też informacje o dziurze w mechanizmie autouzupełniania, która występuje w niemal wszystkich popularnych obecnie przeglądarkach. Jej odkrywca Jeremiah Grossman poinformował o zagrożeniu firmę Apple, producenta Safari. Nie doczekał się żadnej reakcji, postanowił więc wygłosić odczyt na zbliżającej się wielkimi krokami konferencji Black Hat w Las Vegas.

>> Czytaj: Użytkownikom przeglądarek zagraża... funkcja autouzupełniania


Źródło: Microsoft, google, Dziennik Internautów
  
znajdź w serwisie

RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2019»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
252627282930