近日，谷歌威脅分析小組披露了微軟Windows內(nèi)核中一個(gè)當(dāng)前已經(jīng)被利用的嚴(yán)重漏洞，而微軟此前并沒有公開發(fā)布補(bǔ)丁或提供任何可以降低風(fēng)險(xiǎn)的建議。

實(shí)際上，谷歌披露的漏洞依賴兩個(gè)Bug，一個(gè)在Windows內(nèi)核中，另一個(gè)在Adobe Flash中。Adobe已經(jīng)迅速提供了一個(gè)安全補(bǔ)丁，而在谷歌安全工程師決定披露這個(gè)漏洞時(shí)，微軟并沒有提供任何建議或修復(fù)補(bǔ)丁。谷歌認(rèn)為，這個(gè)漏洞“非常嚴(yán)重”，因?yàn)樗诒焕谩dobe也表示：

存在一個(gè)漏洞CVE–2016–7855，在針對(duì)運(yùn)行Windows 7、8.1和10的用戶發(fā)起的有限攻擊中被利用。

在谷歌披露以后，微軟已經(jīng)公開確認(rèn)了該漏洞，并承諾在11月8日提供一個(gè)“經(jīng)過許多業(yè)內(nèi)人士測試”的補(bǔ)丁。微軟執(zhí)行副總裁Terry Myerson還提供了一些有關(guān)Strontium的更詳細(xì)的信息，這是一個(gè)以利用漏洞而聞名的組織：

Strontium是一個(gè)活躍的組織，通常以政府機(jī)構(gòu)、外交機(jī)構(gòu)和軍事組織及其附屬的私營部門組織（如國防承包商和公共政策研究機(jī)構(gòu)）為目標(biāo)。[……它]會(huì)在幾個(gè)月里一直不斷地研究特定的目標(biāo)，直到他們成功地攻陷受害人的計(jì)算機(jī)。一旦攻入，STRONTIUM會(huì)在受害者的網(wǎng)絡(luò)里橫向移動(dòng)，盡可能地深挖戰(zhàn)壕，確保他們可以持久地訪問和竊取敏捷信息。

在Myerson看來：

在漏洞的補(bǔ)丁尚未經(jīng)過廣泛的測試并可用的情況下，谷歌就披露了這些漏洞，這讓人失望，也將客戶置于了更危險(xiǎn)的境地。

谷歌提前披露漏洞符合谷歌自己的披露策略，要讓公司有60天的時(shí)間可以修復(fù)嚴(yán)重的漏洞，但對(duì)于已經(jīng)被利用的漏洞，則需要在7天內(nèi)采取行動(dòng)，要么修復(fù)，要么提出可以降低風(fēng)險(xiǎn)的建議。谷歌認(rèn)為，盡早披露可以讓用戶在成為攻擊目標(biāo)之前采取防護(hù)措施。

在剛剛發(fā)表的聲明中，微軟對(duì)谷歌披露漏洞的時(shí)間點(diǎn)表示了指責(zé)。他們指出，由于所涉環(huán)境的多樣性，“響應(yīng)安全漏洞是一個(gè)復(fù)雜、廣泛、耗時(shí)的過程”。多位安全研究人員所表達(dá)的截然不同的觀點(diǎn)反映出了兩家公司的不同立場。

查看英文原文：Major Windows Vulnerability Disclosed by Google before Patch Available