Microsoft'tan Sıfırıncı Gün Açıklarına Tepki: 'Koordinasyonsuz İfşalar Müşterilerimizi Riske Atıyor' Windows

Microsoft'tan Sıfırıncı Gün Açıklarına Tepki: 'Koordinasyonsuz İfşalar Müşterilerimizi Riske Atıyor'

Microsoft, güvenlik araştırmacılarının yamalanmamış altı sıfırıncı gün açığını koordinasyonsuz ifşa etmesini eleştirdi ve bu durumun müşterileri riske

Microsoft, yayınladığı yeni bir bildiride güvenlik araştırmacılarını, şirketin ürünlerindeki güvenlik açıklarını yamalar hazır olmadan ve önceden haber vermeksizin kamuya duyurmaları nedeniyle eleştirdi. Teknoloji devi, bu 'koordinasyonsuz ifşaların müşterilerini gereksiz riske attığını' belirtti. Bildiride, altı güvenlik açığının 'sorumlu bir şekilde ifşa edilmediği' vurgulandı. Bu açıklar arasında Microsoft Defender'da ayrıcalık yükseltme ve hizmet reddi, Windows BitLocker'da güvenlik özelliği atlatma ve Windows Cloud Filter sürücüsünde ayrıcalık yükseltme gibi çeşitli zafiyetler yer alıyor.

Microsoft, bu koordinasyonsuz ifşalar nedeniyle güvenlik ekiplerinin gece gündüz çalışarak bu açıkları araştırdığını ve geçici önlemler ile yamalar geliştirdiğini açıkladı. Şirket, bu tür ifşaların 'yamalanmamış açıklar için kanıt niteliğinde kodları kötü niyetli kişilerin eline verdiğini' ve bunun 'asla haklı çıkarılamayacağını' belirtti. Microsoft, 'Bu eylemlere ve müşterilerimize ve dijital ekosisteme zarar verebilecek her türlü koordinasyon dışı ifşaya karşı olduğumuzu' ifade etti.

Şirket, güvenlik araştırmacılarını endüstri standardı olan Koordineli Güvenlik Açığı İfşası (CVD) prosedürlerini izlemeye davet etti. CVD sürecinde, açığı bulan kişi ile ürün sahibi arasında tipik olarak 90 günlük bir ambargo süresi belirlenir; bu süre zarfında satıcı yamaları geliştirir, araştırmacı da genellikle katkısı için ödüllendirilir ve itibar kazanır. Microsoft, her yıl yüzlerce güvenlik araştırmacısıyla CVD kapsamında çalıştıklarını ve bu ortaklığın, kanıt kodları kötü niyetli kişilerin eline geçmeden önce etkilenen hizmetlerde güncellemeler yapmalarına olanak sağladığını vurguladı.

Sistem Güvenliği

Öte yandan, siber güvenlik endüstrisindeki önde gelen isimler, geleneksel CVD modelinin yeniden düşünülmesi gerektiği konusunda uyarılarda bulunuyor. Bazı uzmanlar, standart 90 günlük ambargo süresinin artık geçerliliğini yitirdiğini savunuyor. Özellikle yapay zeka araçlarının güvenlik açığı araştırmalarını hızlandırmasıyla birlikte, ifşa sürelerinin önemli ölçüde kısalması gerektiği belirtiliyor. Uzmanlar, aktif olarak istismar edilen kritik açıklar için 7 gün, düşük önem dereceli bulgular için ise 90 günlük tavan gibi kademeli bir zaman çizelgesinin daha uygun olacağını ifade ediyor. AB'nin Siber Dayanıklılık Yasası'nın 72 saatlik bildirim süresi öngörmesiyle birlikte, 90 günlük standardın artık bir kalıntı olarak görülebileceği yorumları yapılıyor.

Paylaş: