微软公开谴责Google不当揭露Windows漏洞!
Google的Project Zero安全团队在去年12月30日透过自动系统公布了微软Windows 8.1
Update的零时差漏洞,并公布了相关的概念验证攻击程式。此举除了引起外界的批评外,
现在微软更公开谴责Google的行为。
微软表示,公司崇尚的是“协调的漏洞揭露原则”(Coordinated Vulnerability
Disclosure,CVD),根据此一原则,漏洞发现者要把最新发现的漏洞私下直接提报给业
者或是国家级的紧急应变中心,以让业者有机会在该漏洞被公开揭露前进行诊断、测试,
并推出解决方案,发现者也会与业者合作进行漏洞调查。不论是第三方发现微软漏洞,或
是微软发现第三方业者的漏洞都应遵循此一原则。
微软安全回应中心资深总监Chris Betz指出,Google的行为瓦解了此一原则,就在微软准
备于每月第二个周二(1/13)进行例行性修补之前公布了微软的漏洞,而且,微软还曾要
求Google协助微软保护客户,不要在本周二前公布漏洞细节。然而,Google仍然以遵循揭
露时程表(90天)为由揭露了该漏洞,让他觉得Google根本就是想要表达“被我抓到了”
,而不是什么原则性问题,因此呼吁Google应该以保护客户为双方合作的首要目标。
Betz表示,微软一直认为协调式的揭露是让客户风险降到最低的正确做法,而在修补程式
出炉前就公布漏洞细节,会使得数百万使用者陷入风险之中,这根本是帮倒忙,即使宣称
是为了让使用者能够自我防御,但更加让骇客有机可趁,攻击那些尚未或无法保护自己的
使用者。此外,Betz也解释,处理安全漏洞是一项相当复杂而且耗时的任务,还得考量在
不同平台及各种使用者环境的影响,在在都增添修补程式的难度。
Betz说,软件都是人类打造的,没有完美的软件,微软必须维护客户的利益并尽速且全面
的修补漏洞。微软感激那些正面的合作与资讯分享,但希望研究人员能够私下向业者提报
漏洞并与之合作,在修补程式出炉前不要公开分享漏洞资讯,而这也是可造福大多数客户
的作法,而那些限制或忽略合作效益的政策与作法则是个零和游戏,将让研究人员、业者
或客户都受到伤害。(编译/陈晓莉)
iThome
http://www.ithome.com.tw/news/93535