 去年12月31日,谷歌研究人员发现并披露了Windows中存在的特权升级错误。研究者甚至公开了此项Windows 8.1漏洞的PoC(概念验证)程序,在其中,他详细说明了如何利用这一Windows 8.1 Bug。 今天,微软呼吁科技界“更好进行协调漏洞披露”。问题很简单,一些人包括谷歌,认为全面公开披露漏洞可让软件供应商快速修复漏洞,以及受影响的客户也可采取快速行动来保护自己。但这种公开漏洞的方式并不总是对的。 微软不同意这种方式,微软认为在漏洞信息向公众公开前,应对潜在的软件漏洞进行全面评估,以及对更广泛的威胁环境进行评估,然后发布漏洞修复更新。这样可防止不法分子利用漏洞攻击用户。 Microsoft的Chris Betz在官方博客表示: 那些赞成全面、公开披露软件漏洞的人相信这种方法可促使软件供应商更快地修复漏洞,客户也能快速采取行动来保护自己。我们不同意这种做法,这种发布信息的行为没有考虑具体情况,也没按照规定的途径对漏洞进行进一步的保护,过度的压力也会导致技术环境的复杂化。向公众披露之前有必要充分评估潜在漏洞影响,评估对更广泛的威胁环境,然后推出“修复”,以避免有人利用漏洞。 Betz在博客帖子里指出,微软计划在周二补丁日推出此项漏洞修复,但谷歌未按微软要求提前公开了漏洞。Betz称:“我们要求谷歌与我们共同努力,暂且不公开漏洞细节,等到周二也就是1月13日,我们将发布修复。但谷歌未听从我们的要求,谷歌的这一决定感觉不像是原则而更像是“陷阱”,置客户的安危于不顾。对谷歌正确的事情并不总是适合客户。我们敦促谷歌,保护客户是我们共同的主要目标。” Betz进一步补充说,微软认为安全人员发现竞争对手的产品漏洞,如果在其规定的时间内没有发布补丁,他们将公开漏洞的做法是不正确的。任何软件开发人员都知道,为安全漏洞开发补丁可能是一个复杂、广泛而又耗时的过程。微软敦促谷歌以及其他公司联手,最终也是为客户考虑。“让我们来面对它,没有软件是完美的,毕竟它是由人类制造的。微软有责任保护我们客户的最大利益,以迅速、全面的方式解决问题,使我们庞大的生态系统继续为客户提供安全的技术,积极地影响人们的生活。” |
