Googleの脆弱性公開にMicrosoftが怒る
GoogleがMicrosoftがパッチを公開する前に脆弱性の情報を公開。
MicrosoftのWindows 8.1 Updateに権限昇格につながる未修正の脆弱性が存在するとして、Googleが米国時間の2014年12月29日に情報を公開した。パッチは公開されておらず、Googleの公開方法に疑問を呈する意見もあるようだ。
Windows 8.1に未修正の脆弱性、Googleの情報開示に疑問も - ITmedia エンタープライズ
で、Microsoft激おこ。
これに対してMicrosoftは1月11日のブログで、情報の公開を13日まで待つようGoogleに要請していたことを明らかにしたうえで、Googleのやり方によって被害を被るのはユーザーだとして同社を非難した。
MSがGoogle非難、Windowsの脆弱性情報公開を巡り - ITmedia エンタープライズ
Other companies and individuals believe that full disclosure is necessary because it forces customers to defend themselves, even though the vast majority take no action, being largely reliant on a software provider to release a security update.
A Call for Better Coordinated Vulnerability Disclosure - MSRC - Site Home - TechNet Blogs
この指摘はもっともで大抵の場合はベンダーがパッチ公開するまで何もできない。OSSだったらやりようがあるけど。脆弱性の修正にかかる時間は異なるので、もうちょっと柔軟にした方がいいのではと思う。