Google назло Microsoft продолжает публиковать уязвимости в Windows

Компания Google опубликовала информацию о новой уязвимости в Windows, которую Microsoft не успела устранить. Баг содержится в Windows 7 и 8.1. Она находится в функции CryptProtectMemory, служащей для шифрования данных в памяти, например, паролей, чтобы их не смогли прочитать другие пользователи.

Уязвимость была найдена участником проекта Google Project Zero Джеймсом Форшоу (James Forshaw) 17 октября 2014 г. «Microsoft проинформировала нас, что патч для этой уязвимости планируется выпустить в январе. Однако обновление было отложено из-за возникших с совместимостью проблем. Ожидается, что оно выйдет в феврале», — рассказал он.

По правилам проекта Google, посвященного поиску уязвимостей в популярном программном обеспечении, информация о найденных «дырах» публикуется спустя 90 дней после ее обнаружения и уведомления разработчика — неважно, выпустил он обновление или нет.

Точно так же Google поступила всего несколько дней назад, вызвав негодование Microsoft. В рамках этого же проекта корпорация публично раскрыла сведения о другой уязвимости в Windows 8.1, а также эксплойт к ней (она также была обнаружена Форшоу). Недовольство Microsoft было вызвано отчасти тем, что она просила Google повременить с этим шагом.

«К сожалению, Google пренебрегла правилами координированного раскрытия информации об уязвимостях и опубликовала информацию за два дня до запланированного выпуска обновления, несмотря на наши просьбы не делать этого», — написал представитель Microsoft Крис Бетс (Chris Betz) в длинном открытом письме в официальном блоге компании.