注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

ceo.lin的博客

 
 
 

日志

 
 
关于我

來自清貧的純樸鄉村.漂泊他鄉為異客.事業,親情,心靈的世界誰作主!

网易考拉推荐

一個漏洞引發的暗戰,Google 這次選擇與微軟正面迎戰  

2016-11-02 09:15:23|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
shutterstock

近日,Google 專門披露安全漏洞的部門「威脅分析集團」(Threat Analysis group)對外公布了 Windows 操作系統的一個臨危級別的重大漏洞,同時發布相關修補程式來保護 Chrome 用戶。問題是,Google 的Chrome 保護修補程式出來了,但微軟官方的修補程式還未誕生,Google 這一舉動徹底激怒了微軟。

微軟發怒也合情合理。

首先,Google 在最初發現該漏洞後及時告知了微軟,微軟得知後也開始開發相關修補程式,但 10 天後 Google 突然將該漏洞公開,而此時的微軟還未來得及完成修補程式的開發。

此外,Google 對 Windows 這一漏洞描述的較為具體:

由於該漏洞的存在,將允許攻擊者利用 win32k 系統上的一處瑕疵躲避安全沙盒。一旦該漏洞被駭客利用,所發起的攻擊所帶來後果的嚴重性,足以將該漏洞定為「臨危」級別。目前該漏洞正在被頻繁利用。

這就尷尬了:Google 發布相關修補程式來保護自己的 Chrome 瀏覽器用戶,但 Windows 自身的漏洞還未解決就被扒出來公之於眾,微軟在駭客面前無異於「裸奔」。從表面上看,Google 為了保護 Chrome 用戶,賣了隊友,說好的默契呢?

對此微軟而言,Google 披露的訊息無疑將微軟的客戶置於風險之中,在修補程式未完成的情況下,如果讓其他駭客熟知微軟的漏洞,很有能會對其進行攻擊。為此,微軟給出緊急解決方案,建議客戶使用 Windows 10 系統和微軟的 Edge 瀏覽器。

面對微軟的不滿,Google 則拿出自己制定的政策,他們表示,Google 的舉動符合在 2013 年自己制定的產品漏洞披露資訊相關規則。Google 在發現供應商產品上的某一漏洞後,會及時向其進行通報,並給出 7 天寬限期讓其發布相關修補程式。即在報告給外部公司 7 天之後,可以對外公開漏洞。

很多研究人員抱怨 Google 的這一政策過於苛刻,認為 7 天的寬限期,根本拿不出合適解決方案來應對複雜的安全漏洞。抱怨歸抱怨,規則實施 3 年來,鮮有廠商指責該項政策,也可能出於小廠商也無法與 Google 討價還價的緣故;但這回中槍的恰恰是敢和 Google 比劃的微軟,面對微軟,Google 似乎也對這一漏洞的處理方式有所保留:Google 的寬限期是 7 天,而這次對外公布微軟的漏洞卻推遲到 10 天,可見 Google 在面對微軟也是禮讓三分。

可以想像,Google 在面對公布還是不公布之間異常糾結,公布了則會惹怒微軟;不公布也不行,畢竟自己制定的規則因為微軟而持續延期,容易被別人扣上欺軟怕硬的帽子,打自己臉。

為了讓微軟消消氣,Google 說在他們公開的訊息中,只是對該漏洞進行一般性的描述,這些描述並不能讓駭客掌握系統的具體漏洞所在。與此同時,他們先是站在微軟廣大用戶的立場去發聲,旨在為用戶提供足夠的資訊以辨識可能的攻擊,避免駭客輕易得手。並提醒用戶,對於 Flash 軟體要安裝自動升級程式,另外要以最快的速度安裝 Windows 操作系統的安全修補程式。

隨後 Google 又站在各大軟體廠商的立場聲明,他們希望盡早對外公開、引發廠商注意,進而讓各大廠商開發自己的修補程式。

雖然 Google 認為自己公開的資訊相對而言不那麼具體,同時是站在擁護廣大用戶和軟體商利益的立場上,但在微軟看來並非如此,這些資訊足以讓駭客知道他們的病灶所在,使得微軟 Windows 的大量用戶處於危險狀態中,而且使得幾乎所有的駭客都已經知道漏洞的存在。

  评论这张
 
阅读(0)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016