Překvapení: Microsoft bude platit za zranitelnosti v Internet Exploreru

24. 6. 2013

Sdílet

 Autor: © Tupungato - Fotolia.com
Microsoft na rozdíl od řady dalších dodavatelů softwaru tradičně odmítá platit za objevené bezpečnostní zranitelnosti. Nyní společnost tuto svoji zásadu ale porušila – na světě je dočasný program, který nabízí odměny za chyby nalezené v beta verzi Internet Exploreru 11.

Microsoft program oficiálně spustí 26. 6., kdy bude stávající verze Internet Exploreru 11 pro Windows 8.1 představena na vývojářské konferenci Build. Za bezpečnostní zranitelnost je přitom firma ochotna vyplatit až 11 000 dolarů; je to v kontrastu s celkovým přístupem Microsoftu, který v oblasti IT zabezpečení sponzoruje spíše tvorbu obecných konceptů, nikoliv samotné hledání děr.

Každopádně ještě významnější než zájem o bezpečnost webového prohlížeče je rovněž oznámený program Mitigation Bypass Bounty, kde Microsoft nabízí za nové techniky umožňující obejít ochranné mechanismy Windows 8 až 100 000 dolarů; v tomto případě se ovšem v souladu se standardní politikou Microsoftu nejedná o klasickou“platbu za zranitelnosti“.

Bezpečnostní analytici jsou postupem Microsoftu překvapeni. Očekávání, že Microsoft začne vyplácet odměny za nalezené bezpečnostní díry, existovalo od roku 2010, kdy tento postup zvolil Google. Microsoft ovšem nehodlá mít takovou politiku jako standard. Snad se firma pro tento krok rozhodla pouze a právě u beta verze MSIE 11, s cílem maximálně odladit verzi finální (tj. RTM). Štědrá částka za nalezené chyby údajně Microsoft stejně vyjde levněji, než kdyby poté zranitelnosti opravoval (a urychleně testoval mezi měsíčními várkami záplat) za běhu.

Z pohledu samotných hledačů zranitelností není postoj výrobce softwaru nutně až tak podstatný, protože (zcela legálně) za objevené chyby platí např. HP Tipping Point v rámci programu Zero Day Initiative, VeriSign/iDefense, ale i další subjekty. Nicméně tyto firmy sdílí příslušné informace se zákazníky i vládními agenturami a jde jim o zabezpečení reálně používaných systémů – proto neodměňují zranitelnosti v beta verzích produktů.

Každopádně v tuto chvíli není jasné, zda Microsoft hodlá podobný přístup rozšířit i na své další produkty. Program pro MSIE 11 je svým trváním omezen na 1 měsíc.

bitcoin_skoleni

Doporučení a hodnocení analytiků jsou nejednoznačná. Tipping Point i VeriSign Microsoft o nalezených chybách jinak stejně informují – a zdarma. Google loni za chyby v Chrome zaplatil 380 000 dolarů, letos už 213 000. Samozřejmě je to v obratech obou společností číslo zanedbatelné, související chvála nebo hana bezpečnostních expertů může mít větší cenu...