Microsoft ve Google’ın arasındaki rekabet, son yıllarda güvenlik açıklarının ortaya çıkarılması konusunda yaşanan birkaç anlaşmazlık nedeniyle yeni bir boyut kazandı. Google, bu hafta içinde anlaşmazlıklara yeni bir halka ekledi. Şirket, Microsoft Edge’de görülen bir güvenlik açığını, yama hazır hâle gelmeden kamuoyuna açıkladı.
Neowin’in haberine göre, Google geçtiğimiz kasım ayında söz konusu açıkla ilgili olarak Microsoft’u bilgilendirdi. Ayrıca şirkete, açıkla ilgili olarak halka gitmeden önce durumu çözmesi için 90 günlük süre de tanıdı. Keşfedilen açık, hassasiyet açısında “orta” düzeyde sayılıyordu.
Bunun yanında Google nezaket göstererek, şubat ayındaki aylık Salı Güncellemeleri sürümüne yamayı ekleyebilmesi için Microsoft’a 14 günlük ek süre tanımış. Ne var ki, Microsoft yamanın başlangıçta düşünülenden daha karmaşık olması nedeniyle bu hedefi kaçırmış. Microsoft’un gerekli yamayı ne zaman çıkaracağı bilinmiyor. Google’ın güvenlik açıklarını raporlamakla sorumlu yöneticisi de, yamanın karmaşıklığı nedeniyle Microsoft’un henüz kesin bir tarih veremediğini söylüyor.
Halka açıklanması Microsoft’u bir kez daha kızdıracaktır. Yazılım devi, geçtiğimiz ekim ayında Google’ın güvenlik yamalarına olan yaklaşımına karşı misilleme yapmıştı. Bir Chrome açığı Microsoft tarafından keşfedilmiş ve Google durumdan haberdar edilmişti. Google’a yamayı çıkarması için yeterli süre tanınmıştı. Google’ın bir güvenlik açığını, yama yayınlamamış olsa bile, 90 gün sonra açık etmesi sorunun temelinde yer alıyor. Aslında Google, bu katı kuralda bazen esneklikler uyguluyor, çeşitli süre uzatmaları sunuyor. Ancak bazı durumlarda, açığın aktif bir şekilde kötüye kullanıldığını tespit ettiğinde de, açıklamayı daha erkene çekiyor. Google, 2016’da keşfedilmiş önemli bir Windows açığını, Microsoft’a rapor ettikten sadece 10 gün sonra kamuoyuna açıklamıştı. Aynı şekilde, Windows’taki sıfırıncı gün açıklarını da yamalar çıkmadan açık etmişti.
Google’ın güvenlik açıklarını duyurma kurallarına uyguladığı iki büyük istisna ise en son keşfedilen Meltdown ve Spectre açıkları olmuştu. Google’ın mühendisleri CPU açıklarını keşfettikten sonra; Intel, AMD ve diğerlerine altı aylık süre tanındı. Bu süre sonrasında, yılın hemen başında bu güvenlik açıklarının varlığı duyuruldu. Windows, Linux, macOS ve iOS cihazlarının yanı sıra, Chrome OS ve Android cihazları da işlemci açıklarından etkileniyordu.
Google sektörün getirdiği katı ve agresif açıklama politikalarına uygun biçimde hareket etmesini istiyor. Microsoft ise şimdiye kadar bu politikaya karşı pek uyumlu bir tavır sergilemiyor. Son olay, öncekiler kadar kritik görünmüyor, ancak yine de bazı tartışmaların ateşlenmesine neden olacaktır. Google gibi, başka şirketlerle rekabet eden, çıkarları çatışan bir şirketin rakip işletim sistemlerinde keşfedilmiş güvenlik açıklarını kamuoyuna açıklaması ne kadar doğru? Bu yine tartışmaya açılacaktır.
