微软与谷歌工程师的软件漏洞纷争

oschina
 oschina
发布于 2014年06月20日
收藏 14

周二,微软为旗下安全软件产品发布了一个紧急修复补丁。 我们会注意到它,因为微软很少发布紧急补丁,他们一般在每个月的第二个星期二集中发布旗下软件产品的所有补丁。微软很有必要发布这个紧急补丁,因为发现这 一安全漏洞的发现者是谷歌安全软件工程师泰威·奥曼迪(Tavis Ormandy)。奥曼迪会很快对外公开这个漏洞,完全不理睬微软是否已经修复它,甚至对外声称微软难以合作。

正因为多次发现微软软件产品漏洞,还常常在微软修复之前,公开演示黑客会如何利用这一漏洞发起安全威胁,所以奥曼迪在业内非常有名。就在一年前,奥曼迪发现了一个可以让黑客获得对Windows的控制权或让它崩溃的Bug,他不但在微软修复前公布了这个Bug,还发布了exploit代码展示他们如何利用这个Bug,这只是微软与奥曼迪安全漏洞冲突的一部分。

WPDang_Microsoft_Security_Essentials_by_lucasgomesdesouza

2010年,奥曼迪只给了微软5天时间修复他所发现的一个漏洞。这一举动引发了业内极大非议,因为安全软件产业内的一般公开时间是30天到60天。 太迟公布自己发现的安全漏洞,会导致软件公司动作迟缓,最终让黑客捷足先登。太早公布漏洞,无异于帮助黑客威胁计算机产业安全,尤其是在微软软件产品被到 处使用,同时被全世界的黑客死死盯住的情况下,这种做法在中国叫:助纣为虐。

去年,谷歌公开支持奥曼迪的做法,并改变了他们的漏洞披露政策。他们宣称,如果谷歌工程师在其他公司的软件中发现漏洞,他们会在7天之后对外公布。这样做的理由是,帮助全球软件公司快速修复自己的漏洞。

WPDang_tavis-ormandy-top

同时,奥曼迪依然没有停止自己的行动,他最近比较感兴趣的是Windows 8。上个月,他在推特上声称,自己在Windows 8上发现了一个Bug。

所以这一回,微软能赶在奥曼迪的公开之前发布补丁是非常幸运的。几乎所有的微软安全软件产品都受到这个漏洞的波及,它们包括Microsoft Security Essentials(MSE)防病毒软件,企业级安全软件产品Forefront,云安全服务 Intune等。这些安全软件保护着大量的微软软件产品 的安全,如果漏洞被黑客利用,后果不堪设想。

微软在紧急安全补丁公告中声称,感谢奥曼迪为微软用户免于安全威胁所作的贡献。

消息源:BusinessInsider/WPDang

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:微软与谷歌工程师的软件漏洞纷争
加载中

最新评论(43

泡不烂的凉粉
泡不烂的凉粉
另外一个好处。 如果只是秘而不发, 那么这个漏洞绝对存在地下黑幕。
如果对外公开, 必将遭受万人攻击,我说的是重要的系统。那么在这么多攻击之下,隐患的系统只能崩溃,不能被窃取。 明箭易挡,暗箭难防。 无论从信息安全还是网络安全。 更快的让漏洞攻防信息得以扩散,远比等待推送补丁来的迅速, 在意的,及早防范。不在意的, 补丁出了也不更新。
Jasonman
Jasonman

引用来自“泡不烂的凉粉”的评论

随然只有七天…公布的对!毕竟漏洞存在不只30或者60天。发现不公布才是不负责!
身正才能不怕影子斜,有本事自己别让人家找出漏洞啊!找出就及时解决!
支持,安全这是个哲学命题^_^
泡不烂的凉粉
泡不烂的凉粉
随然只有七天…公布的对!毕竟漏洞存在不只30或者60天。发现不公布才是不负责!
身正才能不怕影子斜,有本事自己别让人家找出漏洞啊!找出就及时解决!
wtony
wtony
公布漏洞的相关信息但不马上公布攻击方法,在这种情况下,产品开发方与黑客同时得到消息处于同一起跑线上,那么作为一家商业公司,如果不能在黑客想出攻击方法之前给出修补方案,那说不过去吧?毕竟是在以整个公司之力且有主场优势情况下与黑客PK,客户要求该公司能赢,这不过分吧!
飘逸的逸
飘逸的逸
没商量就公开,还提供方法,几乎把所有人都暴露在危险之下了.不道德.
梁选
梁选

引用来自“Gmail.com”的评论

「己所不欲,勿施于人」
我不禁好奇Google是否对自家产品的所有漏洞一概能做到5天内修复?
Android漏洞太多,都不用钱的系统,谁会在意?
梁选
梁选

引用来自“Gmail.com”的评论

「己所不欲,勿施于人」
我不禁好奇Google是否对自家产品的所有漏洞一概能做到5天内修复?

引用来自“hy_2014”的评论

google除了搜索引擎, 剩下的全是Beta版本。

引用来自“久永”的评论

不怕流氓耍流氓,就怕流氓有文化~
Android?
久永
久永

引用来自“Gmail.com”的评论

「己所不欲,勿施于人」
我不禁好奇Google是否对自家产品的所有漏洞一概能做到5天内修复?

引用来自“hy_2014”的评论

google除了搜索引擎, 剩下的全是Beta版本。
不怕流氓耍流氓,就怕流氓有文化~
hy_2014
hy_2014

引用来自“Gmail.com”的评论

「己所不欲,勿施于人」
我不禁好奇Google是否对自家产品的所有漏洞一概能做到5天内修复?
google除了搜索引擎, 剩下的全是Beta版本。
Gmail.com
Gmail.com
「己所不欲,勿施于人」
我不禁好奇Google是否对自家产品的所有漏洞一概能做到5天内修复?
返回顶部
顶部