Microsoft a récemment exprimé leur mécontentement de la façon dont Google a publié des informations sur une vulnérabilité dans Windows. D'après divulgation de vulnérabilité coordonnée (CVD), des chercheurs en sécurité devraient donner Microsoft une possibilité de corriger les vulnérabilités détectées avant de les divulguer au public. Microsoft indique qu'ils cherchent à fournir à leurs clients avec des mises à jour de haute qualité et de protéger les clients contre les attaques malveillantes, tandis que la mise à jour est en cours de création.
On croit que la divulgation complète encourage les fournisseurs de logiciels pour corriger les vulnérabilités plus rapidement et les clients à prendre des mesures conservatoires. Cependant, Microsoft est en désaccord avec cette croyance et suggère que la divulgation publique peut déclencher de nouvelles cyber-attaques.
La compagnie a exprimé leur insatisfaction et demande que les chercheurs privés les informent des vulnérabilités détectées et transmettre des renseignements sur la question que lorsqu'un correctif a été déposée. Chriz Betz, directeur senior du Microsoft Security Response Centre, croit que les chercheurs et les éditeurs de logiciels doivent collaborer jusqu'à ce qu'un correctif est publié et fait valoir que ce partenariat est très avantageux pour les clients.
La divulgation de l'information sur le bogue a été considérée comme une situation dans laquelle les visiteurs sont mis en danger. Chriz Betz croit que Google n'est pas nécessairement juste avec leurs décisions.
Google a publié d'informations sur un bug deux jours avant un correctif planifié, qui a été fait malgré la demande de Microsoft d'éviter de révéler les détails au sujet de la question. Plus précisément, il a été demandé de ne pas communiquer l'information du public jusqu'au 13 janvier 2015, lorsque le correctif devait être libéré. Approche de Microsoft est que l'objectif premier devrait être sur offrant aux clients des protection, mais ne pas les exposant à un danger plus grand. Chriz Betz fait valoir qu'ils n'essaieraient pas de faire pression sur les concurrents après la détection des défauts dans leurs produits.
La divulgation a été faite par l'équipe de Project Zero, qui a divulgué le code requis pour exploiter les bugs. Cela a été fait après l'émission d'entreprises concernées avec une date limite pour résoudre les problèmes. Que la vulnérabilité n'était pas fixée dans les 90 jours, les informations sur le problème a été divulguées.
La semaine dernière, il a été signalé que Advanced Notification Service (ANS de Microsoft), qui a été créé il y a 10 ans comme partie du Patch Tuesday pour communiquer au sujet de Microsoft met à jour, n'est plus disponible au public. Cela signifie que les informations ANS ne sera pas disponibles via un billet de blog ou site Web. Changements sont censés être mis en œuvre en raison des rétroactions des clients que ANS n'est plus utilisé de la même manière que par le passé, ce qui signifie que la grande majorité des clients attendre pour mise à jour mardi, ce qui permet des mises à jour installées automatiquement. Informations sur les mises à jour de sécurité sera disponibles uniquement pour les clients qui ont payé le premier ministre de contrats d'assistance.