close

一個漏洞引發的暗戰 谷歌這次選擇與微軟“剛正面”

近日,谷歌專門披露安全漏洞的部門“威脅分析集團”(Threat Analysis group)對外公佈瞭Windows操作系統的一個臨危級別的重大漏洞,同時發佈相關補丁來保護Chrome用戶。問題是,谷歌的Chrome保護補丁出來瞭,但微軟官方的補丁還未誕生。谷歌這一舉措徹底激怒瞭微軟。

微軟發怒也合情合理。

帝寶產後護理之家|台中五星級月子中心 首先,谷歌在最初發現該漏洞後及時告知瞭微軟,微軟得知後也開始開發相關補丁,但10天後谷歌突然將該漏洞公開,而此時的微軟還未來得及完成補丁的開發。

此外,谷歌對Windows這一漏洞描述的較為具體:由於該漏洞的存在,將允許攻擊者利用win32k系統上的一處瑕疵躲避安全沙箱。一旦該漏洞被黑客利用,所發起的攻擊所帶來後果的嚴重性足以將該漏洞定為“臨危”級別。目前該漏洞正在被頻繁利用。

這就尷尬瞭:谷歌發佈相關補丁來保護自己的Chrome瀏帝寶產後護理之家|台中產後月子中心價錢覽器用戶,但Windows自身的漏洞還未解決就被扒出來公之於眾,微軟在黑客面前無異於“裸奔”。從表面上看,谷歌為瞭保護Chrome用戶,賣瞭隊友。說好的默契呢?

對此微軟而言,谷歌披露的信息無疑將微軟的客戶置於風險之中,在補丁未完成的情況嚇,如果讓其他黑客熟知微軟的漏洞,很有能會對其進行攻擊。為此,微軟給出緊急解決方帝寶產後護理之家|台中產後月子中心案,建議客戶使用Windows 10系統和微軟的Edge瀏覽器。

面對微軟的不滿,谷歌則拿出自己制定的政策鍋甩:他們表示,谷歌的舉動符合在2013年自己制定的產品漏洞披露信息相關政策。谷歌在發現供應商產品上的某一漏洞後,會及時向其進行通報,並給出七天寬限期令其發佈相關補丁。即在報告給外部公司七天之後,可以對外公開漏洞。

很多研究人員抱怨谷歌的這一政策過於苛刻,認為七天的寬限期,根本拿不出合適解決方案來應對復雜的安全漏洞。抱怨歸抱怨,政策實施三年來,鮮有廠商對該項政策進行指責,也可能出於小廠商也無法與谷歌討價還價的緣故。但這回中槍的恰恰是敢和谷歌比劃的微軟,面對微軟,谷歌似乎也對這一漏洞的處理方式有所保留:谷歌的寬限期是七天,而這次對外公佈微軟的漏洞卻推遲到瞭十天,可見谷歌在面對微軟也是禮讓三分。

可以想象,谷歌在面對公佈還是不公佈之間異常糾結,公佈瞭則會惹怒微軟。不公佈也不行,畢竟自己制定的政策因為微軟而持續延期,容易被別人蓋上欺軟怕硬的帽子,打自己臉。

為瞭讓微軟熄熄火,谷歌說到在他們公開的信息中,隻是對該漏洞進行瞭一般性的描述,這些描述使得黑客並不能掌握系統的具體漏洞所在。與此同時,他們先是站在微軟廣大用戶的立場去發聲,旨在為用戶提供足夠的信息以識別可能的攻擊,避免黑客輕易得手。並提醒用戶,對於Flash軟件要安裝自動升級程序,另外要以最快的速度安裝Windows操作系統的安全補丁。

隨後谷歌又站在各大軟件廠商的立場去聲明,他們希望盡早對外公開、引發廠商註意,從而讓各大廠商開發自己的補丁。

雖然谷歌認為自己公開的信息相對而言不那麼具體,同時站在擁護廣大用戶和軟件商利益的立場上。但在微軟看來卻並非如此,這些信息足以讓黑客知道他們的病灶所在,使得微軟Windows海量用戶處於危險狀態中,而且使得幾乎所有的黑客都已經知道瞭漏洞的存在。


arrow
arrow
    創作者介紹
    創作者 rlx533zj71 的頭像
    rlx533zj71

    阿長的採購名單

    rlx533zj71 發表在 痞客邦 留言(0) 人氣()