Het openbaar maken van een beveiligingslek in Windows XP was een verantwoorde keuze van Tavis Ormandy. Reden hiervoor is dat Microsoft het lek na zestig dagen anders nog steeds niet gepatcht zou hebben.
De onderzoeker en Google-werknemer Tavis Ormandy kreeg veel kritiek na het openbaar maken van het ernstige lek. De onderzoeker zou Microsoft niet genoeg tijd gegeven hebben om het lek in het Windows Help en Support Center te patchen.
Meerdere beveiligingsonderzoekers melden nu dat de kritiek op Ormandy onterecht is. De grote boosdoener zou niet de Google-medewerker zijn, maar de pers, Microsoft en verschillende andere beveiligingsonderzoekers.
Ormandy zou Microsoft namelijk op de hoogte hebben gesteld van het lek en de softwaregigant 60 dagen gegeven hebben om het lek te patchen. Microsoft ging hier niet mee akkoord, waarop de onderzoeker besloot om het lek te onthullen. Het publiceren zorgt ervoor dat bedrijven op de hoogte zijn van het lek en zich hier tegen kunnen wapenen. De kans was altijd aanwezig dat hackers het lek zouden ontdekken en daarom is het onverantwoord om Microsoft zo lang over de patch te laten doen.
Volgens beveiligingsexpert Brad Spengler heeft Ormandy goed gehandeld. Spengler gebruikt als voorbeeld meerdere lekken die 300 en 700 dagen geleden zijn gerapporteerd aan Microsoft, maar nog altijd niet verholpen zijn. Spengler vraagt zich af of het na de publicatie wel mogelijk is om het lek binnen 60 dagen te patchen.
3 uur geleden
