อาจกล่าวได้ว่าช่วงสัปดาห์ที่ผ่านมาได้เป็นอีกครั้งที่กูเกิล (Google) สร้างบาดแผลให้ไมโครซอฟท์ (Microsoft) โดยครั้งนี้เป็นประเด็นเกี่ยวกับการพบข้อผิดพลาดในระบบปฏิบัติการวินโดวส์ 8 ของไมโครซอฟท์ และทางกูเกิลได้เปิดเผยบั๊กดังกล่าวก่อนที่ไมโครซอฟท์จะส่งแพทช์ออกมานั่นเอง
แม้ว่าการกระทำดังกล่าวจะไม่ใช่เรื่องใหม่สำหรับคนในวงการซีเคียวริตี้ แถมเรามักพบว่ามีผู้เชี่ยวชาญในวงการดังกล่าวหลายคนก็ออกมาเผยจุดบกพร่องในซอฟต์แวร์กันอยู่เนือง ๆ แต่สำหรับกูเกิลและไมโครซอฟท์แล้ว มันอาจกลายเป็นแผลใหญ่กว่าที่คาด
บั๊กดังกล่าวถูกพบโดยทีมนักวิจัยด้านซีเคียวริตี้ของกูเกิลภายใต้ชื่อ Project Zero ซึ่งทีมของ Project Zero นี้ นอกจากจะค้นหาจุดบกพร่องในซอฟต์แวร์ของบริษัทต่าง ๆ แล้ว ยังมีนโยบายข้อหนึ่งก็คือ ให้เวลาบริษัทผู้พัฒนาซอฟต์แวร์ 90 วันในการแก้ไข ไม่เช่นนั้น ทางทีมงาน Project Zero จะเปิดเผยข้อบกพร่องนั้นต่อสาธารณชน
บาดแผลของไมโครซอฟท์ที่เกิดจากกูเกิลในครั้งนี้ก็มาจากนโยบายดังกล่าวนี่เอง
โดยทางไมโครซอฟท์มีแผนจะส่งแพทช์เพื่อแก้บั๊กตามกำหนดการของบริษัทในวันอังคารนี้ ซึ่งเลยเส้นตายที่ทางกูเกิลกำหนดไว้ 2 วัน
เหตุผลที่ไมโครซอฟท์ระบุก็คือ การออกแพทช์ตามวันเวลาที่กำหนดไว้จะเอื้อต่อการทำงานของภาคธุรกิจซึ่งเป็นลูกค้าของบริษัทมากกว่า
ผลก็คือ เมื่อถึงวันที่ 15 มกราคม ครบกำหนด 90 วันตามนโยบายของ Project Zero กูเกิลก็เปิดเผยถึงข้อบกพร่องของซอฟต์แวร์จากไมโครซอฟท์ โดยที่ไมโครซอฟท์ยังไม่มีแพทช์ใด ๆ ออกมารองรับ
Chris Betz ผู้อำนวยการฝ่าย Security research ของไมโครซอฟท์ถึงกับออกมาโพสต์ในบล็อก ใจความว่า
“One company – Google – has released information about a vulnerability in a Microsoft product, two days before our planned fix on our well known and coordinated Patch Tuesday cadence, despite our request that they avoid doing so. Specifically, we asked Google to work with us to protect customers by withholding details until Tuesday, January 13, when we will be releasing a fix. Although following through keeps to Google’s announced timeline for disclosure, the decision feels less like principles and more like a “gotcha”, with customers the ones who may suffer as a result. What’s right for Google is not always right for customers. We urge Google to make protection of customers our collective primary goal.”
ทั้งนี้จะเห็นได้ว่า ในการโพสต์ดังกล่าว Betz จากไมโครซอฟท์ได้ระบุไว้ด้วยว่า ทางไมโครซอฟท์ได้ร้องขอไม่ให้กูเกิลทำเช่นนั้น พร้อมได้ตั้งคำถามชวนคิดด้วยว่า สิ่งที่ถูกต้องสำหรับกูเกิล แท้จริงแล้วอาจไม่ใช่สิ่งที่เหมาะสมสำหรับลูกค้าเสมอไป
นอกจากนั้น การกระทำดังกล่าวยังมีความเสี่ยงบางประการที่ไม่น่าจะเป็นผลดีต่อวงการซีเคียวริตี้ เพราะการที่กูเกิลตัดสินใจเผยโค้ดที่มีปัญหาออกสู่สาธารณชนก่อนที่ไมโครซอฟท์จะออกแพทช์มาแก้นั้น อาจทำให้ผู้ใช้เองตกอยู่ในความเสี่ยงแทนก็เป็นได้
ไม่ใช่แค่ไมโครซอฟท์ แต่ทีม Project Zero ยังค้นหาบั๊กในซอฟต์แวร์ของบริษัทอื่น ๆ ด้วยเช่นกัน (รวมถึงแอปเปิลด้วย) ซึ่งทำให้เกิดข้อท้วงติงว่า กูเกิลสองมาตรฐาน เพราะไม่พบว่ามีการเจอบั๊กในซอฟต์แวร์ของกูเกิลโดยทีม Project Zero แต่อย่างใด
เชื่อว่าคงต้องรอดูการแก้เกมของไมโครซอฟท์ในอนาคตอันใกล้นี้
ที่มา : http://manager.co.th/CyberBiz/ViewNews.aspx?NewsID=9580000006709
