谷歌工程師以往也曾發現并報告微軟產品的漏洞,不過本月谷歌工程師發現的漏洞數量超過了以往。自稱“Windows黑客”的谷歌信息安全工程師馬特休斯·朱茲克(Mateusz Jurczyk)發現了32個被微軟認定為“重要”的Windows漏洞。而谷歌另一名信息安全工程師基恩維爾·柯德文得(Gynvael Coldwind)則協助發現了5個漏洞。
此前,谷歌工程師于10月、11月和12月分別報告了1個漏洞,而1月份則沒有報告任何漏洞。微軟本月共修復了64個漏洞,已接近歷史記錄。
微軟一直歡迎來自外部人士的漏洞報告。微軟表示:“當你在微軟安全公告牌上看到對某一信息安全專家的認可時,這意味著他們私下向我們報告了漏洞,與我們合作開發了補丁,以及在威脅消除之后協助我們公布了信息。”
谷歌工程師曾發現過微軟產品的多個漏洞,但有時會直接公布,而不是私下向微軟報告。2010年6月,谷歌工程師報告了Windows的一個嚴重漏洞,但同時宣布在發布完整攻擊代碼之前只給微軟5天時間來修復。微軟對此感到惱怒,隨后宣布了對“非微軟產品”的漏洞報告政策,開始報告谷歌產品的漏洞。2012年7月,微軟一名工程師宣稱,發現了通過Android設備的大規模僵尸網絡惡意軟件,而谷歌對此表示否認。
對于谷歌工程師為何花費大量時間來研究Windows的漏洞,朱茲克尚未做出回應。不過,這些漏洞有可能是在其他研究中發現的,例如對Chrome瀏覽器內嵌的PDF閱讀器的研究。
如果漏洞較嚴重,那么朱茲克等工程師傾向于在自己的博客中披露技術成果。不過對于較小的安全問題,谷歌工程師會以符合用戶利益的方式向微軟報告漏洞。朱茲克等人也試圖利用這些成果進行自我宣傳。柯德文得在Google+上表示:“如果你對朱茲克和我發現的Windows漏洞感興趣,你可能會想參加今年的SyScan大會。”SyScan信息安全大會將于今年4月召開。
谷歌一名發言人表示:“確保互聯網用戶的安全遠遠不只是使我們自己的產品安全。在不同平臺上測試產品和服務時,我們常常報告發現的漏洞。以負責任的方式向軟件提供商報告漏洞是健康的信息安全社區的一部分。”
京公網安備 11010502049343號