Sedm dní musí stačit. Tuto politiku ohledně opravování chyb v produktech třetích stran začal razit Google zhruba před třemi roky. Nově vyvolalo kontroverzi uveřejnění kritické chyby ve Windows a Adobe. Google informaci o chybě poslal postiženým firmám 21. října, přičemž Adobe již vydal opravu (CVE-2016-7855), která se s částí problému vypořádala (doporučujeme ji instalovat, pozn. red.).
Více než týden poté, tedy v pondělí 31. října se na blogu Googlu objevila veřejně informace o této chybě, která umožní obejít sandbox ochranu v jádru Windows. Podle Googlu již byla chyba zneužívána.
„Po sedmi dnech jsme dle naší politiky zveřejňování informací o aktivně zneužívaných kritických zranitelnostech dnes publikovali zprávu o kritické zranitelnosti ve Windows, pro kterou zatím nebylo vydáno doporučení ani oprava. Tato chyba zabezpečení je obzvláště závažné, protože jsme zjistili, že je aktivně zneužívána,“ píše se ve zprávě Googlu.
Právě za pravidlo sedmi dnů je Google kritizován již od doby, kdy s ním v roce 2013 přišel. Podle něj prostě musí sedm dní stačit, aby firma chybu opravila. S tím však nesouhlasí nejen Microsoft, ale i někteří bezpečnostní odborníci.
„Microsoft rozhodně potřebuje více času na pořádné otestování záplat. Mají tolik různých produktů a u svých záplat musejí zajistit dostatečné otestování jejich kvality (quallity assurance). A také musejí brát ohled na některé služby, které na jejich platformách závisejí. Takže rozumím tomu, že Microsoftu trvá déle, než vydá záplatu,“ řekl již dříve Technetu Vitalij Kamluk, Chief Malware Expert z Kaspersky Lab.
Podobně se vyjádřil i Brian Martin, ředitel vyšetřování bezpečnosti z Risk Based Security, pro server ComputerWorld. Podle něj je nemožné, aby Microsoft přišel se záplatou za sedm dní. Opravování zranitelnosti Windows může znamenat řešení problémů na několika různých platformách OS a je třeba zajistit, aby výsledná oprava nenarušila chod některého ze stávajících programů. Na druhou stranu měl podle něj Google určité opodstatnění, když takto varoval veřejnost, vzhledem k tomu, že hackeři již tuto chybu zneužívají.
Ani tak se nelze divit reakci Microsoftu, který si myslí, že zveřejnění podrobností o chybě přináší více škody než užitku. Důvodem je již zmíněná časová náročnost přípravy opravy.
„Věříme v koordinované zveřejňování zranitelnosti. Dnešní zveřejnění Googlem může potenciálně poškodit zákazníky,“ uvedl Microsoft v e-mailu, který cituje například server ComputerWord.
