一個漏洞引發的暗戰,Google 這次選擇與微軟正面迎戰

作者 | 發布日期 2016 年 11 月 02 日 7:47 | 分類 Google , Microsoft , 資訊安全
shutterstock

近日,Google 專門披露安全漏洞的部門「威脅分析集團」(Threat Analysis group)對外公布了 Windows 操作系統的一個臨危級別的重大漏洞,同時發布相關修補程式來保護 Chrome 用戶。問題是,Google 的Chrome 保護修補程式出來了,但微軟官方的修補程式還未誕生,Google 這一舉動徹底激怒了微軟。



微軟發怒也合情合理。

首先,Google 在最初發現該漏洞後及時告知了微軟,微軟得知後也開始開發相關修補程式,但 10 天後 Google 突然將該漏洞公開,而此時的微軟還未來得及完成修補程式的開發。

此外,Google 對 Windows 這一漏洞描述的較為具體:

由於該漏洞的存在,將允許攻擊者利用 win32k 系統上的一處瑕疵躲避安全沙盒。一旦該漏洞被駭客利用,所發起的攻擊所帶來後果的嚴重性,足以將該漏洞定為「臨危」級別。目前該漏洞正在被頻繁利用。

這就尷尬了:Google 發布相關修補程式來保護自己的 Chrome 瀏覽器用戶,但 Windows 自身的漏洞還未解決就被扒出來公之於眾,微軟在駭客面前無異於「裸奔」。從表面上看,Google 為了保護 Chrome 用戶,賣了隊友,說好的默契呢?

對此微軟而言,Google 披露的訊息無疑將微軟的客戶置於風險之中,在修補程式未完成的情況下,如果讓其他駭客熟知微軟的漏洞,很有能會對其進行攻擊。為此,微軟給出緊急解決方案,建議客戶使用 Windows 10 系統和微軟的 Edge 瀏覽器。

面對微軟的不滿,Google 則拿出自己制定的政策,他們表示,Google 的舉動符合在 2013 年自己制定的產品漏洞披露資訊相關規則。Google 在發現供應商產品上的某一漏洞後,會及時向其進行通報,並給出 7 天寬限期讓其發布相關修補程式。即在報告給外部公司 7 天之後,可以對外公開漏洞。

很多研究人員抱怨 Google 的這一政策過於苛刻,認為 7 天的寬限期,根本拿不出合適解決方案來應對複雜的安全漏洞。抱怨歸抱怨,規則實施 3 年來,鮮有廠商指責該項政策,也可能出於小廠商也無法與 Google 討價還價的緣故;但這回中槍的恰恰是敢和 Google 比劃的微軟,面對微軟,Google 似乎也對這一漏洞的處理方式有所保留:Google 的寬限期是 7 天,而這次對外公布微軟的漏洞卻推遲到 10 天,可見 Google 在面對微軟也是禮讓三分。

可以想像,Google 在面對公布還是不公布之間異常糾結,公布了則會惹怒微軟;不公布也不行,畢竟自己制定的規則因為微軟而持續延期,容易被別人扣上欺軟怕硬的帽子,打自己臉。

為了讓微軟消消氣,Google 說在他們公開的訊息中,只是對該漏洞進行一般性的描述,這些描述並不能讓駭客掌握系統的具體漏洞所在。與此同時,他們先是站在微軟廣大用戶的立場去發聲,旨在為用戶提供足夠的資訊以辨識可能的攻擊,避免駭客輕易得手。並提醒用戶,對於 Flash 軟體要安裝自動升級程式,另外要以最快的速度安裝 Windows 操作系統的安全修補程式。

隨後 Google 又站在各大軟體廠商的立場聲明,他們希望盡早對外公開、引發廠商注意,進而讓各大廠商開發自己的修補程式。

雖然 Google 認為自己公開的資訊相對而言不那麼具體,同時是站在擁護廣大用戶和軟體商利益的立場上,但在微軟看來並非如此,這些資訊足以讓駭客知道他們的病灶所在,使得微軟 Windows 的大量用戶處於危險狀態中,而且使得幾乎所有的駭客都已經知道漏洞的存在。

(本文由 雷鋒網 授權轉載;首圖來源:shutterstock) 

關鍵字: , ,

發表迴響