360截图20150113154919353

微软不满谷歌揭露Windows漏洞

微软不满谷歌揭露Windows漏洞

就在微软准备向用户推送补丁的前几天,谷歌公布了其Windows 8.1系统的漏洞。微软对谷歌此举非常不满,已对其进行公开谴责。

微软的安全回应中心资深总监Chris Betz在一篇长博客中表示,随着互联网安全环境越来越复杂,在对应当下网络安全问题的策略上,企业更应该统一战线,而不是各自为政。

就在微软发布每月一次的安全补丁前两天,谷歌公开了Windows 8.1的一个安全漏洞。该漏洞可导致低级别账户成为系统管理员,从而获得访问敏感数据和功能的权限。

谷歌旗下的Project Zero安全小组很早就发现了该漏洞,并于2014年10月13日通知了微软。根据谷歌Project Zero计划规定,只有在通知开发商90天后才可以对公众披露漏洞的相关消息。

90天过去了,微软并没有发布修复补丁。但Betz对此表示,1月13日才是“系统补丁发布日”,微软也因此曾要求谷歌等到这一天之后才公开漏洞细节。“然而谷歌仍然坚持公布了漏洞,这让我觉得谷歌根本就是想要表达‘抓住你把柄了吧’,而不是什么原则性问题。我们呼吁谷歌应该以保护客户为双方合作的首要目标。”

据Betz称,微软一直认为协调式的揭露是让客户风险降到最低的正确做法,而在补丁发布前就公布漏洞细节会使得数百万的用户陷入风险之中,这根本就是帮倒忙。即使宣称是为了让用户能够自我防御,但也更让黑客有机可乘、攻击那些尚未或无法保护自己的用户。

Betz指出,微软一贯奉行“协调的漏洞揭露原则”(CVD)。根据此原则,发现漏洞的人应把最新发现的漏洞私下直接提报给开发商或国家级的紧急应变中心,让开发商有机会在该漏洞被公开揭露前推出修复补丁,而不是在补丁推出前将其公诸于众。

Betz表示,“那些限制或忽略合作效益的政策与做法是个零和竞争,将会使研究人员、软件开发商或客户都受到伤害。”