Copyright © 2010-2012 All Rights Reserved. 备案号:蜀ICP备12021514号-1
2016-11-03 16:29:10[英文SEO]
操作系统出现漏洞是常有的事情,但如果这些漏洞被公开给包括潜在黑客在内的所有人,那恐怕任何公司都难免要追究公开者的责任。
类似的状况,恰好发生在了微软和 Google 身上。
10 月 31 日,Google 安全部门旗下的风险分析小组发布博客,公开了团队成员发现的隐藏在微软 Windows 操作系统内核的一个漏洞,这一漏洞允许黑客升级本地权限,“逃离”Windows 安全沙箱。在博文的最后,Google 建议用户及时安装 Windows 升级包。
公开软件漏洞以督促软件开发商开发补丁的事情很常见,但 Google 这次之所以会引起微软的抗议,原因就在于公开漏洞的时机和方式。在这篇博文发布之前,微软并没有在 Google 要求的 7 天之内更新操作系统,因此根据 Google 在 2013 年发布的一份声明,Google 选择在 10 月 31 日正式对外公开漏洞的详细内容。
我们一般建议软件开发商应该在 60 天之内修补重大漏洞,如果难以修补,他们应该向公众告知潜在的风险,并提供解决办法。如果报告的漏洞需要有更长的修复时间,我们建议研究人员公开他们的研究成果。不过根据我们的经验,大概 7 天的修复期对于不断得到利用的重大漏洞而言是更合适的。
所以,目前没有迹象表明 Google 是故意针对微软才出此对策,毕竟 Google 也把这一风险报告给了 Adobe,后者在 26 日就发布了编号为“CVE-2016-7855”的升级。
虽然 Google 安全团队给软件厂商留下的窗口期是完全公开的,但是微软仍然对 Google 将重大漏洞提前公之于众的行为非常不满。微软 Windows 和设备集团执行副总裁 Terry Myerson 今天发文回应,并谴责了 Google 的行为:
我们坚信一个负责任的科技公司会把客户放在第一的位置,并通过合作解决问题。Google 在修复补丁完成之前公开这一系统漏洞的决策非常令人失望,把客户暴露于不断恶化的风险中。