微软谴责谷歌公布 Windows 漏洞:不厚道!

oschina
 oschina
发布于 2015年01月14日
收藏 14

Google安全研究数据库在发现90天后自动披露了微软未修复的一个Windows 8.1安全漏洞。而这个漏洞微软计划在1月13日的例行安全更新中修复。对于Google提前泄露漏洞,微软公开进行了谴责。 微软称Google的做法令用户容易受到黑客攻击。这一公开指责凸显软件安全领域一个始终存在的紧张问题:一方认为应当及早公布漏洞信息以便向软件公司施压来解决问题;而软件开发商有时需要更多的时间才能找到解决方案。在这个事件中,Google属于前者。Google给开发商90天的时间来解决问题,超过期限就公开问题。Google周日又公开了Windows 8.1系统中创建用户档案过程中存在的一个漏洞,微软称Google拒绝等待48小时等补丁释出后再公开。Peter Bright认为唯一受损害的是用户。

微软谴责谷歌公布Windows漏洞:不厚道!

事实上,谷歌一直以来都在开展一项名为“零项目”(Project Zero)的安全漏洞披露项目,该团队主要由谷歌内部顶尖安全工程师组成,旨在发现、跟踪和修补全球性的软件安全漏洞,以让用户可以更加惬意的享受互联网 生活,同时可以放心的点击广告。通常,谷歌会在公布漏洞前首先通报软件厂商并给他们90天的时间发布修复补丁。

谷歌表示,自己早在去年10月13日就向微软通报了存在于Windows 8.1系统“Windows用户档案评测服务”(Windows Elevation of Privilege in User Profile Service)模块中的漏洞。

“谷歌零项目所发现的安全漏洞会给予厂商90天的修复期,如果厂商没有在90天内发布大规模的修复补丁的话,这一漏洞报告便会自动公诸于众。”谷歌在自己的博客中写道。

对此,微软安全研究中心高级研究总监(senior director of research)克里斯-贝斯(Chris Betz)发表了名为《号召更好的漏洞协同披露》的长文博客指出,微软曾请求谷歌推迟至1月13日之后(也就是90天的宽限期后2天)再公布上述漏洞,因 为微软已经计划在1月13日向用户推送修复补丁,但谷歌却执意在1月11日就公布漏洞。贝斯认为,谷歌这一过于死板的做法最终伤害的还是普通互联网用户。

“具体来说,我们曾要求谷歌同我们合作,不要将这一漏洞在微软发布补丁前(即1月13日)公诸于众。但谷歌没有采纳我们的意见,而是执意在90天到期时公布这 一漏洞。这样的做法并没有让我们感觉谷歌坚守了自己的原则,更像是在陷我们于不义,同时也置用户的安全于不顾,因为谷歌所认为正确的事情不一定就是对待用 户的正确做法。在此,我们希望谷歌能同我们一道将保护用户视为自己最主要的目标。”贝斯在博客中这样写道。

应该说,这已经不是谷歌第一次通过“零项目”披露微软安全漏洞了,此前双方也曾因为类似的事情而在媒体上大打嘴仗。贝斯认为,安全漏洞的修复是一个广泛、复杂和耗时的工作,因为每个安全漏洞都各有不同,所以我们有时根本无法在90天的时间内完全修复一个漏洞。

对于微软的指责,谷歌并没有立刻给予置评。但英国知名“零日漏洞查杀”专家、“零项目”项目研究员本-霍克斯(Ben Hawkes)却并不同意微软的指责,他表示:“总的来说,零项目给予所发现漏洞的90天限期是合理、且经过深思熟虑的。因为这一宽限期不仅给予了软件厂 商充足的时间去修复漏洞,同时也给予了用户足够的尊重,并让它们了解自己所面临的安全风险。”(汤姆)

via 腾讯科技 & Solidot

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:微软谴责谷歌公布 Windows 漏洞:不厚道!
加载中

最新评论(61

水溶C100
水溶C100
有时候修改一个漏洞会带出N个漏洞出来。。。这个修正肯定要很久
纯洁徐
纯洁徐

引用来自“神州浪子”的评论

都给你提前90天了,你特么自己不修复,怪别人公布?

引用来自“凡行”的评论

我倒是认为无论任何时候,对方没修复就公布其细节都是不道德的。
最终受害的都是用户

引用来自“FaintX”的评论

这样是督促修复。
如果不死守90天,难免会有继续妥协的念头,这样事情就逐渐滑向深渊了。
提前公布,其实伤害更多的是厂商信誉。
不然期间被人利用,用户损失更大。
微软的产品是要花真金白银买的,Google 发现它有质量问题了,及时给予免费的告之,并且限定其90日期内发布补丁,否则再公布,Google公司内部也有用到Windows,在其平台下做开发,同时也是微软的客户当然也是花钱买的,我有真凭实据说你产品有问题,我又如何作恶了?
WFChYu
WFChYu

引用来自“神州浪子”的评论

都给你提前90天了,你特么自己不修复,怪别人公布?

引用来自“凡行”的评论

我倒是认为无论任何时候,对方没修复就公布其细节都是不道德的。
最终受害的都是用户

引用来自“FaintX”的评论

这样是督促修复。
如果不死守90天,难免会有继续妥协的念头,这样事情就逐渐滑向深渊了。
提前公布,其实伤害更多的是厂商信誉。
不然期间被人利用,用户损失更大。

引用来自“孤月蓝风”的评论

感觉不是督促,是赤裸裸的威胁和炫耀。

引用来自“FaintX”的评论

就用户角度来讲,威胁得好。
多来几次,要么厂家商誉下降,大家都懂得不去买这种不安全的坑爹玩意;
要么厂家提高关注度,缩短解决问题的周期。
无论哪个都是长远的好处。

相反,妥协和迁就只能带来短暂的安全感。

引用来自“孤月蓝风”的评论

真从用户角度来说的话,这是最不好的,漏洞公布了,可能攻击你的人一下飚升了。个人觉得一个好办法是,在网上公布微软不修复漏洞,可以让微软感受到舆论威胁,又不会影响用户安全。

引用来自“FaintX”的评论

呵呵,然后微软就可以说谷歌并没有掌握实际漏洞,或者说漏洞不重要、未泄露,请大家放心。漏洞如果泄露了,一定是谷歌保管不善的缘故,请大家舆论威胁谷歌不要泄露漏洞?

引用来自“孤月蓝风”的评论

太偏激了吧?微软已经承认漏洞存在,并且承诺补丁星期二修复了。

引用来自“FaintX”的评论

不偏激啊。破窗理论嘛。有一扇窗户破了,那么其他的也很快保不住。有次原则失守了,就有可能更多次、更多原则失守。当媾和成本低于修复成本的时候,大家都会追求成本低的媾和方案。那时,用户再叫你们怎么不修复,有用?
在没有竞争对手或者任何规则约束的情况下,微软是不会重视用户的任何意见的,这个前科请参照IE6!它还没死干净呢……IE7和IE6相隔几年出版本???IE6的BUG请问都修复了没有?!
好见解79
WFChYu
WFChYu

引用来自“断舍离”的评论

规定是死的,大家目的不是保护用户吗?公布可以,但不要公开漏洞细节啊,我们只是普通用户,能有什么办法?不认同谷歌的做法
客观上 单看一次的行为确实会造成用户承担更大的风险。
但是长久坚持漏洞的限期纰漏可以促进厂商的效率
WFChYu
WFChYu

引用来自“KGer.”的评论

不公布不代表没有被黑客利用,我认为90天是个挺合理的期限,不要傻得认为黑客只会利用已经公布的漏洞-_-
没公布的漏洞价值高于公布的已解决漏洞,不会被新手轻易发现使用。
benny-li
benny-li
我来评一句:上面公司打架,下面粉丝撕逼。
KG_er
KG_er
不公布不代表没有被黑客利用,我认为90天是个挺合理的期限,不要傻得认为黑客只会利用已经公布的漏洞-_-
久永
久永

引用来自“泡不烂的凉粉”的评论

明箭易挡,暗箭难防。
我简单举个例子, 客户去买房子,销售公司和开发公司做好了房子。不过有些地方做的不够牢靠。 客户的朋友不懂这些,也给转业的围观群众发现了建筑的弱点,然后告诉开发商,这个墙太薄,比防盗门还薄,不安全。 开发商有90天处理问题,不然围观群众就把这个事实公开出去。 遭殃的是买到房子的人, 受益的是更多的人。
换个角度, 如果买到房子的人,在开发商不处理缺陷的时候,自己也可以处理薄弱环节。 以为有很多漏洞是存在于客户根本用不到的服务当中,客户使用时候关闭有问题的服务或者使用替代方案就可以避免问题发生。

所以,我鼓励90天不修复bug就公开的决定。 支持google的强硬态度。

引用来自“久永”的评论

问题是,手机用安卓,电脑用田田,你有选择吗?——别扯不不着边的~

引用来自“泡不烂的凉粉”的评论

其实,我不想跟你扯,也没给你选择。 我只发表了我此类问题的看法。 至于你的观点。 我没打算干涉,也不打算让你接受我的观点。
你误会了,我不是说你扯~
泡不烂的凉粉
泡不烂的凉粉

引用来自“泡不烂的凉粉”的评论

明箭易挡,暗箭难防。
我简单举个例子, 客户去买房子,销售公司和开发公司做好了房子。不过有些地方做的不够牢靠。 客户的朋友不懂这些,也给转业的围观群众发现了建筑的弱点,然后告诉开发商,这个墙太薄,比防盗门还薄,不安全。 开发商有90天处理问题,不然围观群众就把这个事实公开出去。 遭殃的是买到房子的人, 受益的是更多的人。
换个角度, 如果买到房子的人,在开发商不处理缺陷的时候,自己也可以处理薄弱环节。 以为有很多漏洞是存在于客户根本用不到的服务当中,客户使用时候关闭有问题的服务或者使用替代方案就可以避免问题发生。

所以,我鼓励90天不修复bug就公开的决定。 支持google的强硬态度。

引用来自“久永”的评论

问题是,手机用安卓,电脑用田田,你有选择吗?——别扯不不着边的~
其实,我不想跟你扯,也没给你选择。 我只发表了我此类问题的看法。 至于你的观点。 我没打算干涉,也不打算让你接受我的观点。
断舍离
断舍离
规定是死的,大家目的不是保护用户吗?公布可以,但不要公开漏洞细节啊,我们只是普通用户,能有什么办法?不认同谷歌的做法
返回顶部
顶部