Microsoft a Google ve při

Snad čtenáři prominou trochu bulvární titulek, ale při čtení této zprávy mi ihned padl na klávesnici a neubránila jsem se jej nepoužít.

Microsoft totiž kritizuje Google za to, že zveřejnil podrobnosti o bezpečnostní chybě v systému Windows 8.1 dva dny před tím, než sám zveřejnil záplatu. Microsoft viní Google, že tím, že Google odmítl počkat se zveřejněním 2 dny, vystavuje uživatele zbytečnému riziku.

Velké softwareové společnosti totiž mezi sebou neformálně uzavřeli dohodu o dodržování principu, který Microsoft definuje jako Coordinated Vulnerability Disclosure (CVD) tedy řízené odhalování bezpečnostních rizik a Google jako Project Zero. Hlavní myšlenkou tohoto principu je, že pokud někdo objeví v softwaru jiného výrobce bezpečnostní mezeru, oznámí mu tuto skutečnost a ponechá mu lhůtu 90-ti dní na vydání opravy. Pokud po uplynutí této lhůty není ještě záplata vydána, ten, kdo chybu objevil ji může zveřejnit, aby uživatelé mohli své počítače ochránit jinak.

Google objevil bezpečností díru, která při přihlašování do Windows 8.1 umožňuje útočníkovi nastavit si vysoká oprávnění do systému. Microsoft tuto chybu opravil, ale žádal Google o prodloužení lhůty, protože Microsoft zveřejňuje záplaty vždy v úterý a proto chtěl ještě 2 dny vyčkat.

Tento případ není první hádkou o termíny mezi Googlem a Microsoftem, naposledy se řešil podobný případ 31.12.2014.

Myšlenka CVD se jeví jako dobrý princip, snad se tedy nestane zbraní ke shazování konkurence.