一个最早发现 Windows 8.1 漏洞的男人

oschina
 oschina
发布于 2013年10月13日
收藏 7

James-Forshaw-2357158

英国人詹姆斯·福肖 (James Forshaw) 刚刚获得微软的一笔奖金——整整 10 万美元。

今年 6 月,Windows  8.1 和 IE11 预览版发布后,为了更好地测试产品,微软宣布了一项奖励计划:任何在 Windows 8.1 预览版中发现重大安全漏洞的用户,都可以获得 10 万美元奖金。10 月 8 日,微软在博客上宣布,福肖成为首个获得 10 万美元奖金的人。

 

现年 34 岁的詹姆斯·福肖住在伦敦,地道的英式口音让他有点像老式的英伦绅士。福肖是科技安全公司 Context 的研究员,同时还是名“白帽黑客”——这个带有浓重“江湖色彩”的称谓指的是通过测试网络安全性能赚取佣金的黑客群体,苹果创始人沃兹尼亚克 (Stephen Wozniak) 和 Linux 系统之父林纳斯·托瓦兹 (Linus Torvalds) 都是个中高手。

这次发现的漏洞可以让黑客绕过 Windows 8.1 设置的安全防护,进而侵入整个系统。不过福肖没有透露具体的漏洞细节。

主要原因是微软不愿透露。微软安全部门主管凯蒂·穆索瑞斯 (Katie Moussouris) 说,公司希望在解决这问题后再予以公开,以防黑客据此侵入用户系统。微软工程师托马斯·加尼尔 (Thomas Garnier) 也发现了这个漏洞,眼下正在紧锣密鼓地修补。

至于为何要为一次安全漏洞支付如此昂贵的费用?微软在博客上解释说,了解新的缓解绕行漏洞可以帮助公司抵御恶意攻击,强化整个平台。黑客越来越难利用系统的 Bug 进行攻击,从中受益的的不仅仅是微软。

1381280795980

福肖说,发现这个漏洞花去了他整整三周半时间。“最早冒出这个想法时,我正盘腿坐在家里,考虑自己能做点什么。整个(漏洞查找)过程中充满太多的绊脚石,它们完全可以把你卡在半道上。(记住)一定不要太兴奋、太快速。”

成功后的福肖目前正在赶去参加一项安全会议。在发现 Windows 8.1 安全漏洞之前,福肖已经是查找系统 Bug 的高手,曾经在惠普系统中发现的大型安全故障还让他获了奖。

这次经历给他带来了更大的曝光度,《卫报》两次报道了他。不过福肖没有因此沾沾自喜,谦虚的福肖说,微软安全部门也在积极地查找产品漏洞,但有时因为距离太近反而看不到全部。“你需要走回去,重新审视整套产品以及它的交互设计,然后再寻找隐藏的漏洞。”

“人是不可能不犯错的,没有人能写出完美的代码。”福肖说,“我和微软的关系很友好,在此之前已经向他们提交过多款 Bug。”

在谈到如何处理 10 万美元的巨额奖金时,福肖说如果因此退休还为时尚早。类似的奖赏要交出大部分给公司,即便公司不要,税收也会扣除很多奖金。“它真的不是一笔能够改变生活的巨款。”

过去十年在安全发展和研究领域,福肖已经和若干重大问题交过手,其中需要的探究技术和创造力让福肖沉醉不已,这才是让他深深着迷的东西。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:一个最早发现 Windows 8.1 漏洞的男人
加载中

最新评论(18

自主创新
自主创新

引用来自“猎户座”的评论

尼玛,广大的微软测试人员难道一个漏洞都没发现?

发现就内部解决了,就像你姐夫和小姨子偷情被发现了还要告诉大家吗
Lison-Liou
Lison-Liou
哦 有人道出天机了
理工小强
理工小强
10万刀税后应该不会太多吧 话说10万刀对于美国技术工作者来说不应该是超过一年的薪水吧
莫慌张
莫慌张
话说,黑市出售价最起码十倍以上吧
M
Martinium
发现本文的一个bug
眼下正在紧锣密鼓地修补.
成语“紧锣密鼓”用错,锣鼓点敲得很密。比喻公开活动前的紧张气氛和舆论准备。
over
铂金小虎
铂金小虎
1ow美刀就能和退休联系起来,国外物价低?
fengyqf
fengyqf
以为在这个男人前面还有个女人。。。
RYAN___
RYAN___
linus和woz 居然被写成了白帽子黑客 我日
南湖船老大
南湖船老大
力挺windows,经过几十亿用户频繁检验和使用,以及各种黑客和恶意入侵者真刀真枪洗礼过的系统,才是可靠的系统。
Biblical
Biblical
居然是爱范的~
返回顶部
顶部