De starheid van Google bij het openbaar maken van informatie over lekken in Windows, brengt de Windows-gemeenschap opnieuw in gevaar. Microsoft moest een bedoelde patch namelijk op het laatste moment terugtrekken.
Google en Microsoft botsten al eerder over het publicatiebeleid van Google ten aanzien van bug-informatie. Google wil voorkomen dat leveranciers eindeloos doen over het patchen van lekken. Daarom maakt Google sinds enige tijd informatie over lekken die zijn beveiligingsteam heeft gevonden, 90 dagen nadat het de leverancier heeft verwittigd publiek.
Op 29 december 2014 en 11 januari 2015 maakte Google onder dat regime informatie openbaar over twee lekken die Microsoft op het punt stond te patchen. Eén van de twee patches moest Microsoft overigens overhaast uitbrengen; een verzoek aan Google om een maandje uitstel bij het publiceren werd niet gehonoreerd.
Vlak na maandelijkse patchronde
Vlak na Microsofts maandelijkse patchronde brengt Google opnieuw informatie over twee problemen in Windows naar buiten, omdat de termijn van 90 dagen is overschreden. Eén van de twee betreft een foutje zonder ernstige beveiligingsimplicaties, maar de ander heeft wat meer om de hakken. Onder omstandigheden blijkt Windows bij cryptografische operaties de identiteit van de gebruiker niet goed te checken, waardoor data mogelijk niet goed versleuteld worden.
Microsoft had een patch klaar voor deze tweede bug, maar moest die te elfder ure terugtrekken omdat er compatibiliteitsproblemen bleken te bestaan. Dat zijn complicaties waar Googles publicatieschema geen rekening mee houdt: het heeft de informatie zonder blikken of blozen openbaar gemaakt.
Reden voor Googles acties onduidelijk
Wat Google tot deze starheid beweegt, is niet duidelijk. Voorkomen dat leveranciers bugs eindeloos ongepatcht laten, is op zich een loffelijk streven. Maar hoe dat streven gediend is bij het in gevaar brengen van zovele pc-gebruikers terwijl je weet dat er aan een oplossing voor het probleem gewerkt wordt, vergt nog wel enige uitleg van Google.
Bron: automatiseringsgids.nl
