Google提早公开Windows漏洞,引发微软不满

Google提早公开Windows漏洞,引发微软不满
REUTERS

作业系统出现漏洞是常有的事情,但如果这些漏洞被公开给包括潜在骇客在内的所有人,那恐怕任何公司都难免要追究公开者的责任。

类似的状况,恰好发生在了微软和 Google 身上。

10 月 31 日, Google 安全部门旗下的风险分析小组发表 贴文 ,公开了团队成员发现的,隐藏在微软 Windows 作业系统内核的一个漏洞,这一漏洞允许骇客升级本地权限,「逃离」 Windows 安全沙箱。在贴文的最后, Google 建议用户及时安装 Windows 升级包。

公开软体漏洞以督促软体开发商开发修正档的事情很常见,但 Google 这次之所以会引起微软的抗议,原因就在于公开漏洞的时机和方式。在这篇贴文发布之前,微软并没有在 Google 要求的 7 天之内更新作业系统,因此根据 Google 在 2013 年发布的一份 声明 , Google 选择在 10 月 31 日正式对外公开漏洞的详细内容。

所以,目前没有迹象表明 Google 是故意针对微软才出此对策,毕竟 Google 也把此项风险报告给了 Adobe,后者在 26 日就发布了编号为 「CVE-2016-7855」 的升级。

虽然 Google 安全团队给软体厂商留下的窗口期是完全公开的,但是微软仍然对 Google 将重大漏洞提前公诸于众的行为非常不满。微软 Windows 和设备集团执行副总裁 Terry Myerson 今天发文回应,并谴责了 Google 的行为:

在这份声明里, Terry 还宣布针对这项漏洞推出的升级修正档将会在 11 月 8 日正式推送,总算是有了比较清晰的时间表。

关于 Google 是否应该只给软体开发商 7 天的修复时间,行业人士各有各的看法。即时数据保护平台 enSilo CTO Udi Yavo 在接受外媒 TechNewsWorld  採访时认为 ,Google 这种行为无异于将知悉这一漏洞的群体从少数有能力利用它的人群扩展到所有人。

不过也有分析师从骇客社群的活跃程度方面认可 Google 的做法:

不过普通消费者难以在这样的系统级漏洞曝光后保护电脑安全,所以现在大家能做的只是静静等待到 11 月 8 日,并及时安装最新修正档。