Google 公开微软漏洞引发相互指责,错在何方?

公司

2016-11-02 13:21

操作系统出现漏洞是常有的事情,但如果这些漏洞被公开给包括潜在黑客在内的所有人,那恐怕任何公司都难免要追究公开者的责任。

类似的状况,恰好发生在了微软和 Google 身上。

10 月 31 日,Google 安全部门旗下的风险分析小组发布博客,公开了团队成员发现的隐藏在微软 Windows 操作系统内核的一个漏洞,这一漏洞允许黑客升级本地权限,“逃离”Windows 安全沙箱。在博文的最后,Google 建议用户及时安装 Windows 升级包。

公开软件漏洞以督促软件开发商开发补丁的事情很常见,但 Google 这次之所以会引起微软的抗议,原因就在于公开漏洞的时机和方式。在这篇博文发布之前,微软并没有在 Google 要求的 7 天之内更新操作系统,因此根据 Google 在 2013 年发布的一份声明,Google 选择在 10 月 31 日正式对外公开漏洞的详细内容。

我们一般建议软件开发商应该在 60 天之内修补重大漏洞,如果难以修补,他们应该向公众告知潜在的风险,并提供解决办法。如果报告的漏洞需要有更长的修复时间,我们建议研究人员公开他们的研究成果。不过根据我们的经验,大概 7 天的修复期对于不断得到利用的重大漏洞而言是更合适的。

所以,目前没有迹象表明 Google 是故意针对微软才出此对策,毕竟 Google 也把这一风险报告给了 Adobe,后者在 26 日就发布了编号为 “CVE-2016-7855” 的升级。

虽然 Google 安全团队给软件厂商留下的窗口期是完全公开的,但是微软仍然对 Google 将重大漏洞提前公之于众的行为非常不满。微软 Windows 和设备集团执行副总裁 Terry Myerson 今天发文回应,并谴责了 Google 的行为:

我们坚信一个负责任的科技公司会把客户放在第一的位置,并通过合作解决问题。Google 在修复补丁完成之前公开这一系统漏洞的决策非常令人失望,把客户暴露于不断恶化的风险中。

terry_myerson_microsoft

(Terry Myerson,图片来自:The Verge

在这份声明里,Terry 还宣布针对这一漏洞推出的升级补丁将会在 11 月 8 日正式推送,总算是有了比较清晰的时间表。

关于 Google 是否应该只给软件开发商 7 天的修复时间,行业人士各有各的看法。实时数据保护平台 enSilo CTO Udi Yavo 在接受外媒 TechNewsWorld 采访时认为 Google 这一行为无异于将知悉这一漏洞的群体从少数有能力利用它的人群扩展到所有人。

不过也有分析师从黑客社群的活跃程度方面认可 Google 的做法:

考虑到黑客们交流的密切程度,7 天的修复期或许还是太长了。

考虑到普通消费者难以在这样的系统级漏洞曝光后保护电脑安全,所以现在大家能做的只是静静等待到 11 月 8 日,并及时安装最新补丁。

题图来自:Wallpapersafari

后评论

评论在审核通过后将对所有人可见

正在加载中

关注无人机、汽车,探讨商业模式和科技产品与社会的结合。工作邮箱:michael@ifanr.com

本篇来自栏目

解锁订阅模式,获得更多专属优质内容