据《商业内幕》1月18日的报导,这种公开漏洞的方式行之有年,也不是谷歌首创,主要是为迫使厂商对严重的安全漏洞迅速提供修复方法,不要拖拉。但是,微软表示他们没有拖拖拉拉。
在2014年夏天成军的谷歌Project Zero团队,汇集了一批世界级的安全专家,专门寻找其他公司软件的漏洞,以使网际网路更安全。他们采取严格的“90天策略”,也就是软件厂家必须在90天内修复漏洞,否则公开。
微软通常在每月的第二个星期二发布补丁(Patch)。正在准备在1月13日(星期二)发布该补丁时,微软发现该补丁还不够成熟,就通知谷歌要延迟到二月发布。而1月15日正是90天期限的最后一天。
微软通常在每月的第二个星期二发布补丁(Patch)。正在准备在1月13日(星期二)发布该补丁时,微软发现该补丁还不够成熟,就通知谷歌要延迟到二月发布。而1月15日正是90天期限的最后一天。(Fotolia)
微软每月一次有规律地将所有补丁集中在一起发布,有利于企业用户事先做好计划和安排,避免补丁过于频繁、无法预测以致于乱了手脚。但1月15日,谷歌还是公开了这个漏洞。
自从2014年8月以来,谷歌已经找到19个微软产品的漏洞,而且都是在微软找到补丁以前,率先公布漏洞,这可不是第一次。
谷歌不只针对微软,也经常找到苹果软件产品的漏洞,还有其他厂商。Project Zero将所有找到的漏洞,保存在一个公开的资料库里。有趣的是,谷歌自己产品的漏洞,却没有列在这个资料库里。
这使得微软有理由抱怨不公平。微软安全回应中心资深总监贝兹(Chris Betz)在博客中写道:“谷歌认为正确的对客户来说不一定总是正确。希望谷歌把保护客户,作为我们共同的最高原则。”
《商业内幕》说,在微软正式发表补丁之前,因谷歌的公开可能会导致企业被黑客攻击,尽管看上去可能性不大,理论上风险仍然存在。**
大纪元记者广元编译报导
责任编辑:林秀璟