666!微软被谷歌撕哭了

[复制链接]
1899 0
狂暴小花花 发表于 2017-5-29 22:26:58 | 只看该作者 |阅读模式 打印 上一主题 下一主题
谷歌最近在安全领域频频出手,先是公开macOS与iOS核心部分漏洞,后又在通知微软仅10天后曝光Windows漏洞,大有自封安全领域“网警”的架势。然而,谷歌“网警小分队”与软件公司之间的恩恩怨怨绝不止这些。本文来自外媒,腾讯科技整合编译。
最近微软被谷歌摆了一道,心里很是郁闷。
本周一,谷歌在 Google Security Blog 中披露了微软Windows系统的一个临危级别的重大漏洞。当然在这之前,谷歌也按规矩把信息首先告知了微软。
666!微软被谷歌撕哭了,三色源码网

谷歌安全博客曝光Windows系统漏洞

一般来说,发现这种零日漏洞(指还没有补丁的漏洞)的公司或专家会给软件开发商预留60天的反应期。
但令微软大为光火的是,从告知到公开,谷歌只给了微软10天的时间。
666!微软被谷歌撕哭了,三色源码网

虽然谷歌在博客中只对漏洞进行了很笼统的描述,目的是在警示用户的同时又不至于被黑客过于轻易地利用,但不少外媒认为,仅仅是披露存在漏洞这一信息,就足以让更多黑客想方设法钻空子。
那么谷歌为什么要提前公布漏洞呢?
事情是这样的:谷歌发现微软的漏洞以后,很良心地在第一时间想到了自己的Chrome用户。
由于已经有恶意软件在利用Windows漏洞对Chrome浏览器发起攻击,谷歌快马加鞭赶制出了针对Chrome浏览器的补丁。
这样谷歌就面临一个选择:尽早公布Chrome补丁,但这样就要出卖微软;不公布补丁,自己用户就有可能继续蒙受损失。谷歌毫不犹豫地选择了前者。
这样看来,谷歌似乎也是出于无奈。
但这种理由似乎依然没办法平息微软的怒火。漏洞公布后,微软的一位发言人当即对谷歌进行了谴责:“谷歌今天公布的信息很可能将用户置于危险的境地。”
当然,发完脾气,微软还是要想办法挽回面子,于是它决定先把这锅甩出去。
周二,微软执行副总裁泰瑞梅尔森(Terry Myerson)表示:
Windows漏洞目前遭到了俄罗斯知名黑客组织“奇幻熊(Fancy Bear)”的利用(你们看吧都怪谷歌),建议用户立即升级到Windows 10(顺便推销一把Win 10),并改用Edge浏览器来躲避攻击。
同时,微软也许诺,系统层面的补丁将于11月8日公布。由于担心黑客干扰大选,最近美国对俄罗斯黑客这一话题异常敏感,微软这招甩锅大法成功地转移了注意力。果然,到了今天,外媒呼啦一下都跑去针对黑客了。
666!微软被谷歌撕哭了,三色源码网

CNBC播送突发新闻:黑客已在利用微软漏洞

现在,边埋头开发补丁,边努力塑造“受害者”形象的微软,估计已经在心里默默算起了跟谷歌的“旧账”。
早在2010年,谷歌的一名工程师就曾给微软下过“五日通牒”。只给五天也就算了,让微软气晕的是,这名工程师后来不但公开了漏洞信息,还例举了一组攻击代码,手把手教黑客攻破Windows。
再后来,谷歌当“网警”似乎当上了瘾,干脆成立了一个专门用来披露软件漏洞的项目Project Zero,目的是为用户创造更加安全的互联网环境。
自从有了这个项目,谷歌和一批软件公司之间的恩恩怨怨就没有断过,谷歌和微软的对撕也是越来越精彩。
2014年9月,谷歌发现了微软Win 8中的一个安全漏洞,并告知了微软。那一次,谷歌给了微软足足90天的反应期。到了去年1月2日,微软依旧没有发布补丁,谷歌二话不说立即公开了漏洞。而且谷歌故伎重演,在披露信息中附上了一段所谓的“验证代码”,实际上就是把系统入侵“教程”拱手送给了黑客。
微软安全回应中心资深总监克里斯贝斯(Chris Betz)随即发表了题为《号召更好的漏洞协同披露》的长文博客,写道:我们曾要求谷歌和我们协同保护用户,将期限放宽到1月13日,届时就会发布补丁。谷歌提前公布漏洞的做法“与其说是不知变通,不如说是抱有一种幸灾乐祸的心态,让用户为这一切买单”。
666!微软被谷歌撕哭了,三色源码网

贝斯抨击谷歌的博客长文

针对此事,曾有外媒指出,谷歌将漏洞与攻击代码同时公开的做法违背了“不作恶”原则。还说谷歌Project Zero项目看起来是为公众利益考虑,实际上却是满满的强盗逻辑:
谷歌好像是一个自封的督查小队队长,它跑到你家告诉你房间窗户没关,而且如果你不赶快关上的话,它就会在你家门前贴一张海报昭告天下,让周围的犯罪分子都知道你家很容易下手……Project Zero根本不是权威,倒像是自封的网警。它没有权力到处威胁别人。
经过那次事件,谷歌似乎也有反省的姿态。不久后,谷歌就宣布修改Project Zero在公开漏洞方面的规定,90天反应期这一标准将变得更加灵活,最长延长期达到14天,条件是软件发行商承诺能够在这14天内发布补丁。
随后,谷歌也曾在安全团队的博客中写道:“只有在软件发行商严重超过约定期限时,才会公开披露零日漏洞。”
事实上,就在不久前,谷歌就对苹果展现出了“宽宏大量”的一面。今年6月,Project Zero发现了苹果macOS及iOS系统核心部分漏洞,并报告给苹果。苹果最初要求60天宽限期,谷歌同意了,双方约定的截止日期为9月21日。
但到了这个日期,苹果又犯拖延症,谷歌再次为其延长了宽限期。事实上,时至今日,苹果已经获得了将近5个月的宽限期,当然苹果现在已经解决了这一问题,在刚刚过去的两周时间内先后发布了iOS 10.1和macOS 10.12.1。
666!微软被谷歌撕哭了,三色源码网

Project Zero公布macOS及iOS核心漏洞

然而,最近几天的事件似乎又让剧情出现了反转。
有外媒调侃道:别被谷歌逮到,只要给它发现一丝丝别人可能利用你家漏洞的机会,你就完了。
不过,也有人认为谷歌这么做很公平。一位名叫Jim Shaver的IT安全专家在博客中指出,反应期的长度一般都是根据修补漏洞的难度而定,反应期过短,开发商根本来不及开发补丁,反应期过长,开发商就会缺乏动力。
“问题在于,如果谷歌纵容微软,那么90天会变成120天、150天……事情当然不一定会这样发展,但很可能会让开发商拖拖拉拉,与此同时,用户却要为漏洞承担风险,而且浑然不知。”
温馨提示:资源转载网络个人收藏,如有侵权或下载链接失效或密码不对请联系站长

1、在论坛里发表的文章仅代表作者本人的观点,与本网站立场无关。
2、论坛的所有内容都不保证其准确性,有效性,时间性。阅读本站内容因误导等因素而造成的损失本站不承担连带责任。
3、当政府机关依照法定程序要求披露信息时,论坛均得免责。
4、若因线路及非本站所能控制范围的故障导致暂停服务期间造成的一切不便与损失,论坛不负任何责任。
5、注册会员通过任何手段和方法针对论坛进行破坏,我们有权对其行为作出处理。并保留进一步追究其责任的权利。
收藏
收藏0
回复

使用道具 举报

*滑块验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

专注源码资源免费分享
只要有下载币全站均可下

私人收藏网站非买卖网站

周一至周日9:00-23:00

反馈建议

282865654@qq.com 在线QQ咨询

赞助我们享尊贵分享

Powered by X3.3© 2019-2029 3se.cc Inc.( 京ICP备14050279号-2