1.媒体来源:
※ 例如ithome
2.完整新闻标题:
微软公开谴责Google不当揭露Windows漏洞!
3.完整新闻内文:
微软安全回应中心资深总监Chris Betz指出,Google的行为瓦解了
“协调的漏洞揭露原则”,就在微软准备释出例行性修补之前公布了微软的漏洞,
而且,微软还曾要求Google不要在本周二前公布漏洞细节。然而,
Google仍然以遵循揭露时程表(90天)为由揭露该漏洞,让他觉得Google根本就是想要
表达“被我抓到了”,而不是什么原则性问题。
文/陈晓莉 | 2015-01-12发表
Google的Project Zero安全团队在去年12月30日透过自动系统公布了
微软Windows 8.1 Update的零时差漏洞,并公布了相关的概念验证攻击程式。
此举除了引起外界的批评外,现在微软更公开谴责Google的行为。
微软表示,公司崇尚的是“协调的漏洞揭露原则”
(Coordinated Vulnerability Disclosure,CVD),根据此一原则,漏洞发现者
要把最新发现的漏洞私下直接提报给业者或是国家级的紧急应变中心,以让业者有机会
在该漏洞被公开揭露前进行诊断、测试,并推出解决方案,发现者也会与业者合作进行
漏洞调查。不论是第三方发现微软漏洞,或是微软发现第三方业者的漏洞都应遵循此一
原则。
微软安全回应中心资深总监Chris Betz指出,Google的行为瓦解了此一原则,
就在微软准备于每月第二个周二(1/13)进行例行性修补之前公布了微软的漏洞,而且,
微软还曾要求Google协助微软保护客户,不要在本周二前公布漏洞细节。然而,Google仍
然以遵循揭露时程表(90天)为由揭露了该漏洞,让他觉得Google根本就是想要表达
“被我抓到了”,而不是什么原则性问题,因此呼吁Google应该以保护客户为双方合作的
首要目标。
Betz表示,微软一直认为协调式的揭露是让客户风险降到最低的正确做法,而在
修补程式出炉前就公布漏洞细节,会使得数百万使用者陷入风险之中,这根本是帮倒忙,
即使宣称是为了让使用者能够自我防御,但更加让骇客有机可趁,攻击那些尚未或无法
保护自己的使用者。此外,Betz也解释,处理安全漏洞是一项相当复杂而且耗时的任务,
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
还得考量在不同平台及各种使用者环境的影响,在在都增添修补程式的难度。
^^^^
Betz说,软件都是人类打造的,没有完美的软件,微软必须维护客户的利益并尽速且
^^^^^^^^^^^^^^
全面的修补漏洞。微软感激那些正面的合作与资讯分享,但希望研究人员能够私下向业者
提报漏洞并与之合作,在修补程式出炉前不要公开分享漏洞资讯,而这也是可造福大多数
客户的作法,而那些限制或忽略合作效益的政策与作法则是个零和游戏,将让研究人员、
^^^^
业者或客户都受到伤害。(编译/陈晓莉)
4.完整新闻连结 (或短网址):
http://www.ithome.com.tw/news/93535
5.备注:
[爆卦?!] 台湾时间 01/12 08:00 am (2015.01.12.)
2015 facebook hacker cup qualification round 结束
参加或通过以上这个 有什么好处?