近日,Google 专门披露安全漏洞的部门“威胁分析集团”(Threat Analysis group)对外公布了 Windows 操作系统的一个临危级别的重大漏洞,同时发布相关修补程序来保护 Chrome 用户。问题是,Google 的Chrome 保护修补程序出来了,但微软官方的修补程序还未诞生,Google 这一举动彻底激怒了微软。
微软发怒也合情合理。
首先,Google 在最初发现该漏洞后及时告知了微软,微软得知后也开始开发相关修补程序,但 10 天后 Google 突然将该漏洞公开,而此时的微软还未来得及完成修补程序的开发。
此外,Google 对 Windows 这一漏洞描述的较为具体:
由于该漏洞的存在,将允许攻击者利用 win32k 系统上的一处瑕疵躲避安全沙盒。一旦该漏洞被黑客利用,所发起的攻击所带来后果的严重性,足以将该漏洞定为“临危”级别。目前该漏洞正在被频繁利用。
这就尴尬了:Google 发布相关修补程序来保护自己的 Chrome 浏览器用户,但 Windows 自身的漏洞还未解决就被扒出来公之于众,微软在黑客面前无异于“裸奔”。从表面上看,Google 为了保护 Chrome 用户,卖了队友,说好的默契呢?
对此微软而言,Google 披露的信息无疑将微软的客户置于风险之中,在修补程序未完成的情况下,如果让其他黑客熟知微软的漏洞,很有能会对其进行攻击。为此,微软给出紧急解决方案,建议客户使用 Windows 10 系统和微软的 Edge 浏览器。
面对微软的不满,Google 则拿出自己制定的政策,他们表示,Google 的举动符合在 2013 年自己制定的产品漏洞披露资讯相关规则。Google 在发现供应商产品上的某一漏洞后,会及时向其进行通报,并给出 7 天宽限期让其发布相关修补程序。即在报告给外部公司 7 天之后,可以对外公开漏洞。
很多研究人员抱怨 Google 的这一政策过于苛刻,认为 7 天的宽限期,根本拿不出合适解决方案来应对复杂的安全漏洞。抱怨归抱怨,规则实施 3 年来,鲜有厂商指责该项政策,也可能出于小厂商也无法与 Google 讨价还价的缘故;但这回中枪的恰恰是敢和 Google 比划的微软,面对微软,Google 似乎也对这一漏洞的处理方式有所保留:Google 的宽限期是 7 天,而这次对外公布微软的漏洞却推迟到 10 天,可见 Google 在面对微软也是礼让三分。
可以想像,Google 在面对公布还是不公布之间异常纠结,公布了则会惹怒微软;不公布也不行,毕竟自己制定的规则因为微软而持续延期,容易被别人扣上欺软怕硬的帽子,打自己脸。
为了让微软消消气,Google 说在他们公开的信息中,只是对该漏洞进行一般性的描述,这些描述并不能让黑客掌握系统的具体漏洞所在。与此同时,他们先是站在微软广大用户的立场去发声,旨在为用户提供足够的资讯以辨识可能的攻击,避免黑客轻易得手。并提醒用户,对于 Flash 软件要安装自动升级程序,另外要以最快的速度安装 Windows 操作系统的安全修补程序。
随后 Google 又站在各大软件厂商的立场声明,他们希望尽早对外公开、引发厂商注意,进而让各大厂商开发自己的修补程序。
虽然 Google 认为自己公开的资讯相对而言不那么具体,同时是站在拥护广大用户和软件商利益的立场上,但在微软看来并非如此,这些资讯足以让黑客知道他们的病灶所在,使得微软 Windows 的大量用户处于危险状态中,而且使得几乎所有的黑客都已经知道漏洞的存在。
(本文由 雷锋网 授权转载)
如需获取更多资讯,请关注微信公众账号:半导体行业观察
相关文章