Praėjusią savaitę Google paskelbė žinią, jog Microsoft nesugebėjo sutvarkyti Project Zero tyrėjų grupės rastų defektų Windows operacinėse sistemose. Pasirodo, jog Microsoft taip pat vėluoja pristatyti sprendimą klaidoms Internet Explorer ir Microsft Edge programose. Tyrėjai atskleidė, jog abi populiarios naršyklės turi taip vadinamąjį ‘confusion bug’, galimai leidžiantį programišiams gauti nuotolinę prieigą prie sistemos. Taip pat, įsilaužėliai gali pradėti kontroliuoti kompiuterį ir liepti jam atlikti įvairias komandas. Jeigu programišiai pasinaudotų paviešintais defektais, jie taip pat galėtų ir kitais būdais paveikti naršykles.
Project Zero grupei priklausantys tyrėjai suteikė pakankamai daug techninės informacijos apie aptiktus defektus. Žinoma, nebuvo planuojama atskleisti per daug svarbių detalių, kadangi kolkas sutvarkyti šias klaidas yra neįmanoma. O kodėl Project Zero viešai paskelbė apie trūkumus Internet Explorer ir Microsoft Edge naršyklėse? Kad paaiškintume šį poelgį, turime trumpam jums papasakoti apie tai kuo užsiima Project Zero grupė. Google inicijuojamas projektas siekia aptikti defektus įvairiose programose. Iš pradžių žinia apie radinius yra pasidalijama su programos kūrėjais – po to, šie turi 90 dienų pateikti sprendimą rastiems defektams. Šiuo atveju, Microsoft nesugebėjo per duotą laikotarpį sutvarkyti aptiktų defektų, todėl Project Zero nusprendė tuo viešai pasidalinti. Buvo viliamasi, kad reguliai Microsoft išleidžiamas atnaujinimas pateiks taip lauktą sprendimą, bet dėl neaiškių priežasčių, vasario mėnesio atnaujinimas buvo nukeltas į kovo 15dieną.
Nors suprantame, kad Google turėjo pasidalinti žinia apie defektus, tačiau nesame pilnai įsitikinę, jog tai buvo būtinybė. Juk jie programišiams atskleidžia kaip Microsoft Edge ir Internet Explorer galėtų būti paveikti. Žinoma, Project Zero nuslėpė faktus apie tai, kaip aptiktą defektą galima panaudoti piktavališkiems tikslams, bet patyrę įsilaužėliai patys gali tai išssiaiškinti. Abejojame, kad Google elgiasi teisingai: 90 dienų terminas atrodo pakankamai trumpas, ypač žinant kad programų taisymas gali užtrukti pakankamai ilgai. Galbūt vertėtų apsvarstyti galimybę paiilginti suteikiamą dienų skaičių? Negalime sugalvoti itin aiškių argumentų palaikyti defektų viešinimą. Nors pala, galime. Juk tai palanki reklama Google. Nedrįstame ginčytis, jog Project Zero atliekama veikla yra išties naudinga, tačiau būtų galima šį projektą patobulinti dar labiau.
Source: threatpost.com.
