谷歌發(fā)現(xiàn)了Windows 8.1系統(tǒng)里的錯誤,稱其存在安全漏洞,普通用戶也可以以管理員的身份獲取敏感信息。最讓微軟感到坑爹的還不是這個——而是谷歌團隊早在幾天前就已經(jīng)按照計劃披露這個消息了。
谷歌的“零計劃”旨在跟蹤軟件系統(tǒng)里的缺陷,并在第一時間內(nèi)讓相應(yīng)供應(yīng)商獲悉。——聽起來的確高大上。
谷歌最近就“告狀”了,要求微軟在90天內(nèi)修復(fù)其系統(tǒng)錯誤。
微軟很快作出了解釋,認為入侵者“需要擁有有效的登錄憑證,并且只能在特定的電腦上操作”。盡管這種危害只是小范圍的,它也是一個嚴重的問題,比如擁有某些項目經(jīng)驗的中層員工會對這類缺陷感到不滿。
盡管如此,一些觀察員也質(zhì)疑,谷歌在披露日期上如此一根筋,是不是真的能“你好我好大家好”?
有專家認為,如果不這樣的話,微軟可以有更多時間來修復(fù)錯誤。在谷歌的相關(guān)政策里所示如下:“關(guān)于零計劃的披露日期……我們允許軟件供應(yīng)商擁有適當(dāng)?shù)臅r間對它們的運行缺陷進行修復(fù),而與此同時,供應(yīng)商也需要尊重使用者了解自己所面對風(fēng)險的權(quán)利。”但谷歌也保留了最終解釋權(quán),“我們也將密切關(guān)注這一政策所帶來的影響”。
在同一時間,微軟發(fā)布聲明表示,目前公司正在“解決特權(quán)安全問題”。
來看看兩家各自的完整聲明說了什么吧:
微軟:
我們正在致力于解決特權(quán)安全問題,并進行系統(tǒng)更新。要特別指出的一點是,入侵者如果試圖進入系統(tǒng),首先需要獲得有效的登錄憑證,而且還需要在指定電腦上進行這一系列的操作。對此,我們鼓勵用戶對他們的殺毒軟件進行更新,在電腦上安裝有效的安全更新以及防火墻。
谷歌:
昨天,我們還在猶豫是否要和微軟進行溝通,最終我們發(fā)布聲明如下:
首先,我們在9月30日就已經(jīng)向微軟告知了ahcache.sys/NtApphelpCacheControl上的錯誤。在左側(cè)欄里,這個錯誤已經(jīng)顯示為“已告知”狀態(tài)。這份首次聲明也告知他們,我們設(shè)定了90天的披露期限,建議微軟在此之間進行修復(fù)。
團隊在2014年初就設(shè)定了零計劃的披露期限。這個限度是行業(yè)多年來討論漏洞修復(fù)而得出的一個結(jié)果。自2001年的“責(zé)任披露”原則發(fā)布以來,安全研究員在過去13年都一直沿用同樣的披露準則。同時我們也認為,我們的披露原則也需要和信息生態(tài)系統(tǒng)與時俱進,威脅在變化,我們的披露政策也需要相應(yīng)作出改變。
零計劃堅信,披露期限現(xiàn)在是保障用戶安全的最佳方式,它允許軟件供應(yīng)商擁有適當(dāng)?shù)臅r間對它們的運行缺陷進行修復(fù),而與此同時,供應(yīng)商也需要尊重使用者了解自己所面對風(fēng)險的權(quán)利。這一方式能夠撤銷供應(yīng)商對安全事項的無限解釋權(quán),目的在于讓用戶對漏洞及時作出反應(yīng),也賦予用戶跟供應(yīng)商追究責(zé)任的底氣。
我們也將密切關(guān)注這一政策所帶來的影響。一切的決策都是基于數(shù)據(jù),我們也會持續(xù)尋找?guī)椭脩籼嵘踩阅艿慕鉀Q途徑。我們非常高興地看到,首發(fā)結(jié)果顯示,報告中發(fā)布的錯誤能在期限內(nèi)解決,對此我們對供應(yīng)商的辛勤付出致以誠摯的謝意。
京公網(wǎng)安備 11010502049343號