近日,微软和谷歌这对老冤家似乎要开始“掐架”了,而“掐架”的主要原因居然是为了Windows 8.1上的一个漏洞。 2014年7月份的时候,谷歌正式公布了一个名为“Project Zero”的计划,谷歌为这个计划召集了一组安全研究人员,希望能够追踪、修复漏洞,维护全体互联网用户的安全。“Project Zero”计划公布之后,其主要目标也锁定为“Zero-Day”,也就是我们常常所说的“零日漏洞”。但是一般情况这些漏洞都未被公开,许多用户也无法及时从软件服务供应商处获得针对性的补丁更新。 事情是这样的。谷歌“Project Zero”去年10月末在Windows 8.1上发现了一个漏洞,并把该漏洞告知微软,同时要求微软在90天内修复该漏洞,否则就公开该漏洞。谷歌有关人员对外表示:
微软此前曾向谷歌“Project Zero”提出要求,希望1月13日前不要公开这个漏洞,而1月13日刚好就是微软为Windows操作系统推送更新的日子(Patch Tuesday)。不过事与愿违,谷歌“Project Zero”上周就公布了该漏洞,这惹怒了微软。提前公布漏洞不仅仅会让Windows 8.1的用户受到安全威胁,而且微软也并未来得及对该漏洞做出应有的防范措施,因为此时Windows操作系统的更新还未开始推送。 微软安全响应中心(Microsoft Security Response Center)的高级主管Chris Betz表示:
非常有趣的是,这并不是微软与谷歌的首次“掐架”了。想必许多用户还有印象,微软曾发过一系列名为“Scroogled”的广告,广告内容大都是讽刺谷歌的产品。在2013年的时候,微软还曾因为Windows Phone上的第三方Youtube客户端与谷歌闹得不可开交。 其实,无论是谷歌“Project Zero”还是微软,在漏洞这件事上都做得不够妥当,他们作为科技界数一数二的巨头,同样都要为用户的安全负责。谷歌“Project Zero”基于原则而提前公布漏洞,让部分用户暴露在安全隐患下,这做法确实不对,但是微软也有不足之处。“修复漏洞本来就是复杂而且非常耗时的,并不是每一个漏洞都能在90天内得以修复”,这样的说法想必没有多少用户听着会觉得满意。对于普通用户来说,他们往往更关心的是结果,而不是过程,他们更关心的是到底安不安全。微软或许还需要提高漏洞修复的效率才行。 |