谷歌揭微軟的短似乎上了癮。近日,谷歌在其Project Zero頁面上公布了多項Windows安全漏洞,而這距離其上次揭短還不到一周。
Project Zero是谷歌所發起的一個互聯網項目,其目的是揭示全球性軟件所存在的安全問題,隨后向廠商進行通報,并給予他們90天的時間來修復或公布問題。如果廠商無動于衷,谷歌就會將其公開。
谷歌此次所公布的安全漏洞可讓攻擊者偽裝成用戶對Windows 7或Windows 8.1的數據進行解密或加密。據悉,谷歌在2014年10月17日向微軟通報了漏洞的存在,但微軟在90天內并未采取任何行動。
“微軟通知我們稱,他們原本計劃在1月推出修復補丁,但兼容性問題導致了發布的延期,”谷歌的一名研究員在頁面上留下了這樣的評論,“因此,修復補丁預計會在2月發布。”此外,谷歌本次披露的另一個漏洞在危險性上要低一些,它可讓攻擊者看到電源設置當中的信息。谷歌和微軟都認為這個問題并不大,因此微軟并未打算對其進行修復。
實際上,這已不是谷歌第一次披露微軟的漏洞。上周,谷歌就曾披露微軟Windows 8.1登錄功能模塊中的漏洞,這一漏洞將使得黑客可以取得設備的控制權。但對于此次披露,微軟則公開表達了不滿。
微軟安全總監克里斯·貝斯表示,微軟曾請求谷歌在90天寬限期過后的兩天后再公布上述漏洞,因為微軟已經計劃向用戶推送修復補丁,但谷歌卻執意在90天寬限期內就公布漏洞,這一過于死板的做法像是在陷微軟于不義,最終傷害的還是普通互聯網用戶。
“隨著互聯網安全環境越來越復雜,在應對所有網絡安全的狀況時,企業應該聯合到一起,而并不是為了各自利益采 取措施。對于微軟來說,制作出有效的補丁需要一定的時間,提前公開漏洞信息對于遇到問題的公司來說也非常不公平。”克里斯·貝斯說道。
對于谷歌的做法,業界也是褒貶不一。有網絡安全領域的研究人員認為谷歌的行為是不正確的,對可能由于谷歌公司此次行為受到影響的用戶表示遺憾,這已經是谷歌公司第二次因透露微軟漏洞而受到批評。
但支持谷歌的聲音卻認為,軟件開發公司應盡早發現并解決安全漏洞問題。英國知名“零日漏洞查殺”專家、“零項目”研究員本·霍克斯表示,總的來說,谷歌給予所發現漏洞的90天限期是合理且經過深思熟慮的。因為這一寬限期不僅給了軟件廠商充足的時間去修復漏洞,同時也給了用戶足夠的尊重,并讓他們了解自己所面臨的安全風險。
另有分析認為,谷歌之所以跟微軟“過不去”,還是源自于這兩家公司一直以來的競爭關系,其實雙方的恩怨由來已久。2012年,微軟上線了“Scroogled.com”的網頁,專門批評谷歌公司及其旗下產品,該網頁直到前不久才下線。去年,谷歌遭受歐盟反壟斷監管機構的指責,而這背后就是微軟牽頭的幾家公司告的狀。
如此看來,微軟被谷歌揭短似乎并不冤枉,這也許是雙方之間的另一種競爭手段,而這樣的競爭或許還會持續下去。
京公網安備 11010502049343號