Microsoft pleit al jaren voor een eigen variant van het zogeheten responsible disclosure. Bij ‘verantwoordelijke onthulling’ van bugs en beveiligingsgaten spreken ontdekkers en betrokken ict-leveranciers af dat ze de gevoelige informatie tijdelijk onder de pet houden. Terwijl dat gebeurt, kunnen leveranciers de kwestie onderzoeken, patches ontwikkelen voor hun kwetsbare software en die updates uitrollen naar de uiteindelijke gebruikers.

Het tegenovergestelde is het zogeheten full disclosure, waarbij ontdekkers zo snel mogelijk informatie openbaren zodat gebruikers worden geïnformeerd en beschermende maatregelen kunnen nemen. De gedachte is dat kwaadwillenden op eigen houtje ook securitygaten kunnen vinden en die gelijk uitbuiten. Wachten op bevestiging door een ict-leverancier en de ontwikkeling van patches zou cybercriminelen een voorsprong geven.

Microsoft pleit sinds enkele jaren voor een eigen variant: coordinated vulnerability disclosure (CVD). Daarbij wil het niet langer kwetsbaarheden laten melden om die vervolgens stil te houden, maar wil het coördinatie tussen ontdekkers en leveranciers. De softwareproducent spreekt hierbij van een gedeelde verantwoordelijkheid en dus een gedeelde besluitvorming over wanneer en hoe informatie over kwetsbaarheden naar buiten wordt gebracht. Domweg wachten op een patch is niet altijd in het belang van gebruikers en de beveiliging van hun ict-omgevingen.

Google lijkt het daarmee eens te zijn, gezien het feit dat de internetgigant zich in 2010 al duidelijk uitsprak tégen responsible disclosure. Echter, Google hanteert in de praktijk een vorm van full disclosure op een timer. Indien security-onderzoekers van het bedrijf kwetsbaarheden vinden in de producten van derden, dan worden die producenten ingelicht waarna de details na een vaste periode worden geopenbaard. Jaren terug was Google voor zestig dagen, maar het hanteert nu een ‘stille periode’ van negentig dagen.

Dit beleid heeft er nu voor gezorgd dat Google en Microsoft openlijk naar elkaar uithalen. Slechts enkele dagen nadat Microsoft een flinke wijziging aankondigde voor zijn patch-ronde van deze maand is het bedrijf naar buiten gekomen met ‘patch-kritiek’ op concurrent Google. Laatstgenoemde heeft namelijk informatie over een kwetsbaarheid in Windows 8.1 geopenbaard, compleet met proof of concept (PoC)-code die misbruik van het gat mogelijk maakt.

Bovendien kwam deze openbaarmaking net twee dagen vóór de maandelijkse patch-ronde van Microsoft. Google heeft dus een 0-day naar buiten gebracht: een gat waarbij er nul dagen zitten tussen de onthulling ervan en het uitbrengen van een patch ervoor. Extra ironisch is dat Microsoft net de opzet van zijn maandelijkse Patch Tuesday heeft gewijzigd: het deelt niet langer vooraf informatie over de patches die het uitbrengt. Tenminste, Microsoft deelt die informatie niet langer openbaar. Bedrijven met een Premier Support-contract krijgen nog wel ‘advance notifications’.

De door Google onthulde 0-day heeft dus na twee dagen alsnog een patch gekregen. Nadat Microsoft nog had gevraagd de onthulling uit te stellen. Daarbij was het aanvankelijke verzoek om uitstel tot februari en vervolgens tot op de Patch Tuesday van januari. Google heeft daarop toen gereageerd met de formele mededeling dat zijn disclosure-beleid gelijk is voor alle leveranciers en alle soorten bugs. Uitstel was dus helaas niet mogelijk, kreeg Microsoft te horen.

Maar goed, het gat in kwestie is kort na de onthulling gedicht. Als tenminste elke beheerder gelijk op Patch Tuesday aan de bak is gegaan met de updates die Microsoft uitbrengt. Alleen is hiermee de ruzie tussen Microsoft en Google niet de wereld uit, want Google heeft nog twee andere 0-days onthuld, wederom netjes volgens het eigen negentig dagen-beleid. En wederom compleet met PoC-code beschikbaar.

De ene bug zit in Windows 8.1 en is ook gedicht in de patch-ronde van januari. De andere bug zit in 8.1 én in het veelgebruikte Windows 7, maar is vooralsnog niet gedicht. Deze kwetsbaarheid maakt het voor een aanvaller mogelijk om zich voor te doen als een geautoriseerde gebruiker om dan versleutelde data te ontgrendelen of om juist data te encrypten.