楼主:
fun5566 (8卦板译人打赏箱没钱)
2015-01-13 02:49:561.媒体来源:
※ 例如ithome
2.完整新闻标题:
微软公开谴责Google不当揭露Windows漏洞!
3.完整新闻内文:
微软安全回应中心资深总监Chris Betz指出,Google的行为瓦解了
“协调的漏洞揭露原则”,就在微软准备释出例行性修补之前公布了微软的漏洞,
而且,微软还曾要求Google不要在本周二前公布漏洞细节。然而,
Google仍然以遵循揭露时程表(90天)为由揭露该漏洞,让他觉得Google根本就是想要
表达“被我抓到了”,而不是什么原则性问题。
文/陈晓莉 | 2015-01-12发表
Google的Project Zero安全团队在去年12月30日透过自动系统公布了
微软Windows 8.1 Update的零时差漏洞,并公布了相关的概念验证攻击程式。
此举除了引起外界的批评外,现在微软更公开谴责Google的行为。
微软表示,公司崇尚的是“协调的漏洞揭露原则”
(Coordinated Vulnerability Disclosure,CVD),根据此一原则,漏洞发现者
要把最新发现的漏洞私下直接提报给业者或是国家级的紧急应变中心,以让业者有机会
在该漏洞被公开揭露前进行诊断、测试,并推出解决方案,发现者也会与业者合作进行
漏洞调查。不论是第三方发现微软漏洞,或是微软发现第三方业者的漏洞都应遵循此一
原则。
微软安全回应中心资深总监Chris Betz指出,Google的行为瓦解了此一原则,
就在微软准备于每月第二个周二(1/13)进行例行性修补之前公布了微软的漏洞,而且,
微软还曾要求Google协助微软保护客户,不要在本周二前公布漏洞细节。然而,Google仍
然以遵循揭露时程表(90天)为由揭露了该漏洞,让他觉得Google根本就是想要表达
“被我抓到了”,而不是什么原则性问题,因此呼吁Google应该以保护客户为双方合作的
首要目标。
Betz表示,微软一直认为协调式的揭露是让客户风险降到最低的正确做法,而在
修补程式出炉前就公布漏洞细节,会使得数百万使用者陷入风险之中,这根本是帮倒忙,
即使宣称是为了让使用者能够自我防御,但更加让骇客有机可趁,攻击那些尚未或无法
保护自己的使用者。此外,Betz也解释,处理安全漏洞是一项相当复杂而且耗时的任务,
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
还得考量在不同平台及各种使用者环境的影响,在在都增添修补程式的难度。
^^^^
Betz说,软件都是人类打造的,没有完美的软件,微软必须维护客户的利益并尽速且
^^^^^^^^^^^^^^
全面的修补漏洞。微软感激那些正面的合作与资讯分享,但希望研究人员能够私下向业者
提报漏洞并与之合作,在修补程式出炉前不要公开分享漏洞资讯,而这也是可造福大多数
客户的作法,而那些限制或忽略合作效益的政策与作法则是个零和游戏,将让研究人员、
^^^^
业者或客户都受到伤害。(编译/陈晓莉)
4.完整新闻连结 (或短网址):
http://www.ithome.com.tw/news/93535
5.备注:
[爆卦?!] 台湾时间 01/12 08:00 am (2015.01.12.)
2015 facebook hacker cup qualification round 结束
参加或通过以上这个 有什么好处?
作者:
MMMB4219 (鲁蛇克星 3M哥)
2015-01-13 02:50:00狗咬狗
作者:
L0v35 (是零ä¸æ˜¯æ)
2015-01-13 02:55:00Don't be evil<3
作者: ramDisk (这是一条不归路) 2015-01-13 03:01:00
满好笑的...
作者:
IDaHoo (爱打呼)
2015-01-13 03:02:00都是they的错
作者:
maxisam (伪.强者)
2015-01-13 03:06:00google都等90天了 谁知道微软会啥时后修很明显 微软早就被告知了 所以才会要求G社不要公布
你以为修 bug 是点两下左键就修好了喔 当神蹟显灵吗 最好你 chrome android 就不要有 bugs
作者:
hoe1101 (摸摸)
2015-01-13 03:11:00这么多肉洞,先管好自己吧
作者:
wumins 2015-01-13 03:11:00Google也开始学做恶了?
干你妈都公布90天了,骇客也不知道用几轮了,你说不公
作者:
callTM (TMD)
2015-01-13 03:13:00这本来就很怪虚啥?
修补后要怎么各种酸言酸语随便你阿 修前公布受害的只有使用者而已
又不是不公布就不会有其他人知道,google怎样也只是发现
作者:
L0v35 (是零ä¸æ˜¯æ)
2015-01-13 03:16:00某m的逻辑XDDDDDDDDDDDDDD
你以为漏洞这么好找喔 还广为人知咧 骇客找到漏洞保密尽情攻击都来不及了 谁跟你公布
作者:
kokus (kokus)
2015-01-13 03:17:00微软OS有漏洞也不是第一次了 何时公布有差吗?
作者:
kokus (kokus)
2015-01-13 03:18:00会利用那些漏洞的人其实不需要等人家公布才会知道
你没差 总会有人有差 台湾人资讯素养如此 难怪会成为 bot 的故乡
作者:
L0v35 (是零ä¸æ˜¯æ)
2015-01-13 03:19:00是阿 那现在公布了不就大家都发现了 不管原本有没有发现der都知道惹
作者: ghjkl1478 (kiki) 2015-01-13 03:21:00
谁叫你要被人家抓到
作者: ghjkl1478 (kiki) 2015-01-13 03:25:00
e04楼上还我无名小站
作者:
sam9595 (帕帕)
2015-01-13 03:31:00说好的就是90天......还要看你修的进度吗...
为什么大家看漏洞被公布好像跟自己无关...?会被攻击的不是微软 是你 是身为使用者的你
作者:
kululabo (966大邪神)
2015-01-13 03:45:00先买正版Windows再来讨论微软放几天
作者:
Ricrollp (J.M.M.)
2015-01-13 03:46:00因为稍微接触一点资讯的人最爱拿酸微软表示自己很厉害啊
都90天给你又不是马上公布 修不好怪别人?骇客如果主要是靠GOOGLE还找漏洞真的就逊了骇客找到当然给自己相关骇客组织分享 不分享的大多是自己组织够大 自己玩就好了 还真以为你不说我不说就没人知道?90天 扣掉假日还有60天左右可用 弄不出来 恩...如果GOOGLE是抓到没多久就公布 我会嘘GOOGLE :P
60 工作天真的没很长 修 bug 完要重测这你总该知道吧
作者:
sam9595 (帕帕)
2015-01-13 05:07:00一个quarter不长? iOS一年可以一个版本 你说一个重要的bug 一个quarter修不好? 人力配置够不够而已
于情于理都应该修完再公开抨击,而非明知使用者是最大的受害者还硬要公布这种行为跟骇客没两样
作者:
sam9595 (帕帕)
2015-01-13 05:28:00如果修完再公开一些公司永远修不好或是慢慢修, 修不好只是让少数骇客爽爽用漏洞而已
我了解软件产出都会希望经过测试 不过就上个月他们自己的更新出包要用"更新"的更新去移除 我不太了解所谓的测试到底有没有这回事XD我也相信补了A洞反而破B洞不是不会发生 但是可先出补A洞的方法再来处理B洞 但相对的官方跟骇客都得再去找B洞在哪边 如果写出来B洞还比较大 只能......当你A洞放著不管 他就是一直在那给人用 就像之前Heartbleed 经过了三年才有人注意到修理
作者: berthier (天马行空) 2015-01-13 05:49:00
若是你发现的,你自己可以选择不公布,但如果不是就...
作者:
aq981334 (2025年未来人)
2015-01-13 06:17:00公布前只有几个人知道漏洞,公布后全世界都知道漏洞某M应该知道严重性了吧?
作者: kevin31a2 (3等士官长 士兵督导长) 2015-01-13 07:44:00
要不公布可以啊 给钱
作者:
sam9595 (帕帕)
2015-01-13 07:50:00这个专案绝对对网络安全大有帮助,如果90天不够那真的只是公司资源配置的问题而已 试想如果今天是骇客第一个公布微软有可能等到90天之后才把它修好吗 让人狂攻90天?
作者: longgnol (嗯) 2015-01-13 08:02:00
烂微软
作者:
tcancer (Vairocana)
2015-01-13 08:14:00事主三个月不处理 别人可以公布出来让防毒软件公司处理不管你修不好还是摆烂 凭什么要别人陪你掩耳盗铃?
作者:
lovesao (lovesao)
2015-01-13 08:55:00那么大间公司拖那么久还不补 被搞刚好啦 人家不搞你还不知道会拖多久
作者:
Shin722 (Shin)
2015-01-13 09:13:00跟中国一样 很难死超过35个人 民众不知道中国就很安全