Google 提早公開 Windows 漏洞,引發微軟不滿

評論
評論
REUTERS

原文刊登於合作媒體 愛範兒 ,INSIDE 獲授權轉載。

作業系統出現漏洞是常有的事情,但如果這些漏洞被公開給包括潛在駭客在內的所有人,那恐怕任何公司都難免要追究公開者的責任。

類似的狀況,恰好發生在了微軟和 Google 身上。

10 月 31 日, Google 安全部門旗下的風險分析小組發表 貼文 ,公開了團隊成員發現的,隱藏在微軟 Windows 作業系統內核的一個漏洞,這一漏洞允許駭客升級本地權限,「逃離」 Windows 安全沙箱。在貼文的最後, Google 建議用戶及時安裝 Windows 升級包。

公開軟體漏洞以督促軟體開發商開發修正檔的事情很常見,但 Google 這次之所以會引起微軟的抗議,原因就在於公開漏洞的時機和方式。在這篇貼文發布之前,微軟並沒有在 Google 要求的 7 天之內更新作業系統,因此根據 Google 在 2013 年發布的一份 聲明 , Google 選擇在 10 月 31 日正式對外公開漏洞的詳細內容。

「我們一般建議軟體開發商應該在 60 天之內修補重大漏洞,如果難以修補,他們應該向大眾告知潛在的風險,並提供解決辦法。如果報告的漏洞需要有更長的修復時間,我們建議研究人員公開他們的研究成果。不過根據我們的經驗,大概 7 天的修復期對於不斷被利用的重大漏洞而言是更合適的。」

所以,目前沒有跡象表明 Google 是故意針對微軟才出此對策,畢竟 Google 也把此項風險報告給了 Adobe,後者在 26 日就發布了編號為 「CVE-2016-7855」 的升級。

雖然 Google 安全團隊給軟體廠商留下的窗口期是完全公開的,但是微軟仍然對 Google 將重大漏洞提前公諸於眾的行為非常不滿。微軟 Windows 和設備集團執行副總裁 Terry Myerson 今天發文回應,並譴責了 Google 的行為:

「我們堅信一個負責任的科技公司會把客戶放在第一的位置,並透過合作解決問題。Google 在修復修正檔完成之前公開這一系統漏洞的決策非常令人失望,把客戶暴露於不斷惡化的風險中。」

在這份聲明裡, Terry 還宣佈針對這項漏洞推出的升級修正檔將會在 11 月 8 日正式推送,總算是有了比較清晰的時間表。

關於 Google 是否應該只給軟體開發商 7 天的修復時間,行業人士各有各的看法。即時數據保護平台 enSilo CTO Udi Yavo 在接受外媒 TechNewsWorld  採訪時認為 ,Google 這種行為無異於將知悉這一漏洞的群體從少數有能力利用它的人群擴展到所有人。

不過也有分析師從駭客社群的活躍程度方面認可 Google 的做法:

「考慮到駭客們交流的密切程度,7 天的修復期或許還是太長了。」

不過普通消費者難以在這樣的系統級漏洞曝光後保護電腦安全,所以現在大家能做的只是靜靜等待到 11 月 8 日,並及時安裝最新修正檔。

評論