Hirdetés

Google-Microsoft: szívatások

A Google egyik biztonsági szakembere, James Forshaw tavaly fedezett fel egy hibát a Windows 8.1-ben. Ezt szeptember 30-án jelezte a gyártó cégnek, s közölte, hogy a biztonsági csapat a Project Zero működési szabályzatának megfelelően 90 napot ad adnak a Microsoftnak a javításra – ha ez nem történik meg, akkor a részletek, a hiba leírása automatikusan megjelenik, nyilvánossá válik.

Mivel a határidő lejárt, és a hibát még nem javították, a leírás december 29-én meg is jelent. Majd néhány nap múlva egy hasonló jellegű sérülékenység leírását hasonló módon publikussá tették január 11-én (a Windows 8.1 jogosultságkezelő rendszerében – Elevation of Privilege –; a sérülékenységet kihasználva az alacsonyabb szintű jogosultsággal rendelkezők magasabb szintű hozzáféréshez juthatnak. Mivel a Microsoft a hónap elején ígéretet tett arra, hogy a januári frissítéssel, 13-án megérkezik a javítás, a cég nevében Chris Betz reagált a történtekre, és hosszú bejegyzésében kifejtette, hogy a felhasználók számára igen káros az a rugalmatlan hozzáállás, amelyet a Project Zero tanúsít.

Az ügy megítélésben a szakma elég világosan két táborra oszlik: akik a Microsoftot kárhoztatják, mivel három hónap alatt sem javítottak egy sebezhetőséget, illetve azokra, akik úgy vélik, hogy függetlenül attól, hogy hanyagságból vagy pedig objektív okok következtében nem történt meg a javítás, nem szabad a felhasználókat veszélyeztetni és a kiberbűnözőket segíteni hibás kód nyilvánosságra hozásával.

Ám a napokban kirobbant egy másik biztonsági botrány, ahol a Google átkerült a másik oldalra.

Kiderült ugyanis, hogy az Android 4.3-as, illetve korábbi verzióiban van egy sérülékenység, melyet független kutatók fedeztek fel. Az operációs rendszer WebView komponensében akad egy olyan rés, ami a támadó számára lehetőséget ad a rendszerbe való behatolásra. A kutatók jelezték a hibát a Google-nak, ám ők úgy döntöttek, hogy mivel a 4.4-es verzió előtti változatokról van szó, nem adnak ki frissítést, hanem értesítik a gyártókat, hogy ők készítsenek javítást hozzál.

Ám meglehetősen sok készülékről van szó, ugyanis a legújabb, még alig elterjedt rendszert megelőző változatot (KitKat) használó eszközök aránya körülbelül negyven százalék, az összes többi a sérülékenységet tartalmazó régebbi OS-eket futtatja, főképp a Jelly Bean valamelyik verzióját (46 százalék). Vagyis a becslések szerint több mint 900 millió felhasználó érintett, és sokan olyan gyártó termékét használják, akik már nem is tervezik a régebbi OS-ek frissítését.

Nyilván sokakban felmerül: most a Microsoft adhatna kilencven napot a Google-nak…

Azóta történt

Előzmények

  • Több mint 30 biztonsági rés kapcsolódik a Google egyik platformjához

    Az a csapat talált rá a Google App Engine hibáira, akik már máskor is sikeresen tártak fel Java-sebezhetőségeket.