谷歌最近披露了Windows系統(tǒng)的一個關(guān)鍵漏洞,結(jié)果惹怒了微軟。令微軟氣憤的不是谷歌披露了其產(chǎn)品的漏洞,而是因為谷歌只給它預(yù)留了10天的反應(yīng)期,讓它沒時間去修復(fù)這個漏洞。
在安全業(yè)界,發(fā)現(xiàn)漏洞的公司或安全專家通常會給相關(guān)軟件的開發(fā)商預(yù)留60天的反應(yīng)期,但是谷歌這次只給微軟預(yù)留了10天的反應(yīng)期。然而谷歌也有自己的理由,它說這是因為現(xiàn)在已經(jīng)有黑客在利用該漏洞發(fā)動攻擊了。
微軟當(dāng)然對谷歌的行為感到不滿,它在聲明中表示:“我們支持和諧的漏洞披露方式,但是谷歌今天的舉動卻讓客戶們置身于險境之中。”
實際上,與該事件類似的問題早就存在,并且引發(fā)了安全業(yè)界的廣泛討論。討論的重點主要集中在披露軟件中的零時漏洞這種行為背后的道德倫理和正確方式上面。
微軟認(rèn)為,對于谷歌來說,負(fù)責(zé)任的做法應(yīng)該是等微軟將這個漏洞修復(fù)之后再披露漏洞的信息,這樣黑客就無法利用這個漏洞作惡了。但是反方認(rèn)為,因為這個漏洞已經(jīng)被某些人用來發(fā)動攻擊了,因此谷歌現(xiàn)在的做法即只給微軟預(yù)留更短的反應(yīng)期就是最好的做法,這樣做可以讓受該漏洞影響的用戶及時知曉漏洞的存在。
谷歌在公布該漏洞信息的博客文章中表示:“我們建議用戶在微軟提供官方補(bǔ)丁后從微軟官網(wǎng)下載補(bǔ)丁來修復(fù)該漏洞。”
那么這是一個什么漏洞呢?因為該漏洞的存在,黑客可以從Windows的安全沙箱中逃脫出來并執(zhí)行任意代碼,從而攻破目標(biāo)的計算機(jī)。谷歌認(rèn)為這是一個“關(guān)鍵級”漏洞。
微軟對此未予置評。