Microsoft раскритиковала то, что сведения о нескольких уязвимостях нулевого дня опубликовали, не уведомив компанию заранее. В Microsoft заявили, что такой подход поставил клиентов под лишний риск, поскольку злоумышленники могли получить технические подробности до выхода исправлений.
Компания напомнила, что обычно работает со специалистами по безопасности по модели согласованного раскрытия уязвимостей. Такой порядок предполагает, что авторы находок сначала передают сведения разработчику, чтобы тот успел оценить проблему, подготовить исправление и только потом раскрыть детали публично.
По словам Microsoft, такой подход помогает выпускать обновления для затронутых служб до того, как демонстрационный код попадёт к злоумышленникам. Компания также заявляет, что в рамках такой работы выплачивает вознаграждения тем, кто ответственно сообщает об уязвимостях, и публично отмечает вклад специалистов.
В Microsoft назвали шесть уязвимостей, сведения о которых раскрыли без согласования: RedSun, BlueHammer, UnDefend, YellowKey, GreenPlasma и MiniPlasma. Компания утверждает, что её команды безопасности работают над тем, чтобы оценить последствия, защитить клиентов и подготовить обновления.
Microsoft выступила против того, чтобы публиковать демонстрационный код для неисправленных уязвимостей, поскольку это может помочь преступникам. В компании заявили, что такие действия имеют реальные последствия, поскольку злоумышленники постоянно ищут слабые места для атак на Microsoft и её клиентов.
Корпорация также напомнила о том, как её подразделение борется с цифровой преступностью. Оно продолжит добиваться того, чтобы злоумышленников и тех, кто им помогает, привлекали к ответственности, при необходимости взаимодействуя с правоохранительными органами в разных странах.
При этом Microsoft заявила, что готова к диалогу с сообществом и продолжит принимать сообщения об уязвимостях через публичный портал для специалистов, независимо от того, как прежде складывалось взаимодействие, и от репутации отправителя. Компания подчеркнула, что поддерживает тех, кто ответственно исследует безопасность, и намерена как можно быстрее проверять сообщения, устранять проблемы и выпускать обновления для клиентов.
