去年12月31日,谷歌研究人员发现并披露了Windows中的特权升级错误。研究人员甚至公开了这个Windows 8.1漏洞的PoC(概念验证)程序,其中详细解释了如何利用这个Windows 8.1 Bug。
如今,微软呼吁科技界“更好地协调漏洞的披露”。问题很简单。包括谷歌在内的一些人认为,全面公开漏洞可以让软件供应商快速修复漏洞,受影响的客户也可以快速采取行动保护自己。但是这种暴露漏洞的方式并不总是正确的。
微软不同意这种方法。微软认为,在漏洞信息公开之前,应该对潜在的软件漏洞和更广泛的威胁环境进行全面评估,然后发布漏洞修复更新。这可以防止犯罪分子利用漏洞攻击用户。
微软的Chris Betz在官方博客上表示:那些赞成全面公开披露软件漏洞的人认为,这种方法可以促使软件供应商更快地修复漏洞,客户可以迅速采取行动保护自己。我们不同意这种做法。这种信息发布行为没有考虑具体情况,也没有按照规定的方式进一步保护漏洞。压力过大也会导致技术环境复杂化。在向公众披露之前,需要充分评估潜在漏洞的影响,评估更广泛的威胁环境,然后发起“修复”,防止人们利用漏洞。
Betz在博文中指出,微软计划在周二补丁日推出此bug修复,但谷歌未能按照微软的要求提前披露bug。贝兹说:“我们要求谷歌与我们合作,暂时对漏洞的细节保密,我们将在周二,也就是1月13日发布修复。但是谷歌没有听我们的要求,谷歌的这个决定感觉更像是一个“陷阱”而不是一个原则,不顾客户的安全。对谷歌来说正确的东西并不总是对客户来说正确的。我们敦促谷歌,保护客户是我们共同的主要目标。”
Betz进一步补充说,微软认为,如果安全人员没有在规定的时间内发布补丁,那么他们披露竞争对手产品的漏洞是不正确的。任何软件开发人员都知道,针对安全漏洞开发补丁可能是一个复杂、广泛且耗时的过程。微软敦促谷歌和其他公司携手合作,最终是为了客户。“让我们面对现实吧,没有一款软件是完美的,毕竟它是人类制造的。微软有责任保护客户的最大利益,快速全面地解决问题,让我开发者_开发知识库们庞大的生态系统继续为客户提供安全的技术,积极影响人们的生活。”
精彩评论