谷歌披露Windows关键漏洞惹怒微软 因只给了10天反应期

2016-11-01 未知


谷歌(微博)最近披露了Windows系统的一个关键漏洞,结果惹怒了微软。令微软气愤的不是谷歌披露了其产品的漏洞,而是因为谷歌只给它预留了10天的反应期,让它没时间去修复这个漏洞。

在安全业界,发现漏洞的公司或安全专家通常会给相关软件的开发商预留60天的反应期,但是谷歌这次只给微软预留了10天的反应期。然而谷歌也有自己的理由,它说这是因为现在已经有黑客在利用该漏洞发动攻击了。

微软当然对谷歌的行为感到不满,它在声明中表示:“我们支持和谐的漏洞披露方式,但是谷歌今天的举动却让客户们置身于险境之中。”

实际上,与该事件类似的问题早就存在,并且引发了安全业界的广泛讨论。讨论的重点主要集中在披露软件中的零时漏洞这种行为背后的道德伦理和正确方式上面。

微软认为,对于谷歌来说,负责任的做法应该是等微软将这个漏洞修复之后再披露漏洞的信息,这样黑客就无法利用这个漏洞作恶了。但是反方认为,因为这个漏洞已经被某些人用来发动攻击了,因此谷歌现在的做法即只给微软预留更短的反应期就是最好的做法,这样做可以让受该漏洞影响的用户及时知晓漏洞的存在。

谷歌在公布该漏洞信息的博客文章中表示:“我们建议用户在微软提供官方补丁后从微软官网下载补丁来修复该漏洞。”

那么这是一个什么漏洞呢?因为该漏洞的存在,黑客可以从Windows的安全沙箱中逃脱出来并执行任意代码,从而攻破目标的计算机。谷歌认为这是一个“关键级”漏洞。

微软对此未予置评。