Google發現了Windows 8.1系統裏的錯誤,稱其存在安全漏洞,普通用户也可以以管理員的身份獲取敏感信息。最讓微軟感到坑爹的還不是這個——而是Google團隊早在幾天前就已經按照計劃披露這個消息了。
Google的“零計劃”旨在跟蹤軟件系統裏的缺陷,並在第一時間內讓相應供應商獲悉。——聽起來的確高大上。
Google最近就“告狀”了,要求微軟在90天內修復其系統錯誤。
微軟很快作出瞭解釋,認為入侵者“需要擁有有效的登錄憑證,並且只能在特定的電腦上操作”。儘管這種危害只是小範圍的,它也是一個嚴重的問題,比如擁有某些項目經驗的中層員工會對這類缺陷感到不滿。
儘管如此,一些觀察員也質疑,Google在披露日期上如此一根筋,是不是真的能“你好我好大家好”?
有專家認為,如果不這樣的話,微軟可以有更多時間來修復錯誤。在Google的相關政策裏所示如下:“關於零計劃的披露日期……我們允許軟件供應商擁有適當的時間對它們的運行缺陷進行修復,而與此同時,供應商也需要尊重使用者瞭解自己所面對風險的權利。”但Google也保留了最終解釋權,“我們也將密切關注這一政策所帶來的影響”。
在同一時間,微軟發佈聲明表示,目前公司正在“解決特權安全問題”。
來看看兩家各自的完整聲明説了什麼吧:
微軟:
引用我們正在致力於解決特權安全問題,並進行系統更新。要特別指出的一點是,入侵者如果試圖進入系統,首先需要獲得有效的登錄憑證,而且還需要在指定電腦上進行這一系列的操作。對此,我們鼓勵用户對他們的殺毒軟件進行更新,在電腦上安裝有效的安全更新以及防火牆。
Google:
引用昨天,我們還在猶豫是否要和微軟進行溝通,最終我們發佈聲明如下:
首先,我們在9月30日就已經向微軟告知了ahcache.sys/NtApphelpCacheControl上的錯誤。在左側欄裏,這個錯誤已經顯示為“已告知”狀態。這份首次聲明也告知他們,我們設定了90天的披露期限,建議微軟在此之間進行修復。
團隊在2014年初就設定了零計劃的披露期限。這個限度是行業多年來討論漏洞修復而得出的一個結果。自2001年的“責任披露”原則發佈以來,安全研究員在過去13年都一直沿用同樣的披露準則。同時我們也認為,我們的披露原則也需要和信息生態系統與時俱進,威脅在變化,我們的披露政策也需要相應作出改變。
零計劃堅信,披露期限現在是保障用户安全的最佳方式,它允許軟件供應商擁有適當的時間對它們的運行缺陷進行修復,而與此同時,供應商也需要尊重使用者瞭解自己所面對風險的權利。這一方式能夠撤銷供應商對安全事項的無限解釋權,目的在於讓用户對漏洞及時作出反應,也賦予用户跟供應商追究責任的底氣。
我們也將密切關注這一政策所帶來的影響。一切的決策都是基於數據,我們也會持續尋找幫助用户提升安全性能的解決途徑。我們非常高興地看到,首發結果顯示,報告中發佈的錯誤能在期限內解決,對此我們對供應商的辛勤付出致以誠摯的謝意。
via engadget
資料來源:雷鋒網
作者/編輯:亦熹
請按此登錄後留言。未成為會員? 立即註冊