Google снова ссорится с Microsoft

В сети появилась информация о неликвидированной уязвимости Windows CVE-2016-7855, которая позволяет злоумышленникам осуществлять атаки, повышая уровень привилегий в атакованной системе до статуса администратора. Информация распространена вовсе не хакерами, а исследователями корпорации Google. Согласно политике Google, специалисты корпорации, обнаружив уязвимости в ПО сторонних компаний, извещают о них разработчиков, предоставляя неделю на ликвидацию проблемы. Если в отведенный срок обновление безопасности не выпущено, Google считает себя вправе публиковать данные об уязвимости в открытом доступе. Предполагается, что это служит самым эффективным стимулом к скорейшей ликвидации проблемы. Ранее Google уже неоднократно публиковал данные о неликвидированных своевременно уязвимостях в ПО различных компаний, включая и Microsoft, хотя подобные действия вызывают ожесточенные споры. Сторонники Google оправдывают эту политику, полагая, что разработчики ПО, не устраняющие уязвимости в срок, подвергают миллионы пользователей неоправданному риску и заслуживают того, чтобы об этом узнал весь мир. Противники же указывают, что неоправданному риску пользователей скорее подвергают действия самой корпорации Google, публикующей данные о незакрытых уязвимостях.

В данном случае уязвимость была обнаружена 21 октября. Примечательно, что в тот же день специалисты Google выявили уязвимость нулевого дня и в Adobe Flash Player. Разработчики – Microsoft и Adobe – были уведомлены о проблемах одновременно. Но инженерам Adobe хватило пяти дней, чтобы выпустить необходимое обновление, ликвидирующее уязвимость. А инженеры Microsoft не уложились в отведенную неделю. Подождав еще три дня и так и не дождавшись выхода обновления от Microsoft, специалисты Google посчитали нужным предать информацию огласке.