微軟昨天對Google提前公佈某Windows 8.1安全漏洞細節一事提出公開指責,稱Google拒絕微軟修復漏洞後再披露的請求是將用户置於危險的境地。
Google的漏洞披露是其“Project Zero”安全行動計劃的一部分,該計劃會給漏洞責任公司90天的窗口時間來修復漏洞,但90天后就會自動披露漏洞,上面所給出的關鍵細節足以為黑客所利用。Google此番公佈的漏洞與Windows 8.1的登錄機制有關,某個登錄相關函數不能判斷用户是否是管理員,因此黑客把自己在用户計算機的權限升級之後就可以控制該機器。微軟在Google公佈漏洞2天后才修復了漏洞。這已經是Google第二次提前微軟公佈漏洞了。當然,這也不算什麼提前,因為Google給出的窗口時間是固定的。
對此微軟安全響應中心在博客上的一篇文章稱,對於Google來説正確的事情對於用户來説未必總是如此,並敦促Google把保護客户作為其共同目標。不過Google堅信自己的策略對於用户安全來説是最好的—既給了供應商合理的修復漏洞時間,又給了用户知情權。但微軟批評説,研究競爭對手漏洞並限時修復否則就公佈漏洞細節讓黑客有可乘之機的做法不妥。
微軟還在博客中解釋了漏洞修復為什麼超過了90天的時間,其主要原因是需要考慮各種客户環境下修復的影響,不同的漏洞情況是不一樣,不存在明確的界定指標。其言下之意是90天的一刀切做法不妥。
微軟和Google之間的爭端放大了把安全界有關報告和修復安全漏洞最佳實踐的分歧,即如何在保護用户和敦促軟件供應商加快推出補丁之間做出平衡。
新版36氪 iOS 客户端正式上線。該有的都有了,想看創業資訊,想分享,想看視頻,想來活動現場,下載36氪 iOS 客户端,即氪觸達。點擊鏈接下載:http://lnk8.cn/kIxB9s
[消息來源:geekwire.com, theregister.co.uk]
資料來源:36Kr
請按此登錄後留言。未成為會員? 立即註冊