最近老冤家微软和谷歌似乎开始“打架”,而“打架”的主要原因其实是Windows 8.1的一个漏洞。
2014年7月,谷歌正式宣布了一个名为“零项目”的项目,谷歌为此项目召集了一批安全研究人员,希望跟踪修复漏洞,维护所有互联网用户的安全。“零项目”计划公布后,其主要目标也锁定在“零日”,也就是我们常说的“零日漏洞”。但是,一般来说,这些漏洞是不会被公开的,很多用户无法及时从软件服务提供商那里获得有针对性的补丁更新。
事情是这样的。谷歌“零项目”在去年10月底发现了Windows 8.1中的一个bug,并告知微软该bug,要求微软在90天内修复该bug,否则会将该bug公之于众。谷歌官员表示:
“零项目”认为,设定修复漏洞的期限是保障网民安全的有效手段。它将允许软件服务提供商公平合理地使用他们的时间来操作漏洞处理过程,同时,它将维护用户对漏洞和安全问题的知情权。
此前,微软曾要求谷歌“零项目”(Project Zero)在1月13日之前不要披露该漏洞,而这一天正好是微软推动Windows操作系统更新的Patch周二。然而,与预期相反,谷歌的“零项目”上周宣布了该漏洞,这激怒了微软。提前公布漏洞不仅会威胁到Windows 8.1用户的安全,微优艾设计网_设计百科软也无法及时对漏洞采取应有的防范措施,因为Windows操作系统的更新还没有开始推送。
微软安全响应中心高级总监克里斯贝茨说:
谷歌“零项目”提前公布了漏洞,只会以安全问题威胁很多用户。此外,谷歌“Project Zero”这样的做法顶多只是基于原则,而并非基于用户安全考虑。,修复漏洞本来就复杂且耗时,并非每个漏洞都能在90天内修复。我们希望谷歌“零项目”能够以用户安全为首要目标。
有趣的是,这并不是微软和谷歌第一次“较劲”。想必很多用户还是有印象的,微软发了一系列名为“Scroogled”的广告,大部分都是讽刺谷歌的产品。2013年,微软也因为Windows Phone上的第三方Youtube客户端与谷歌发生了争吵。
事实上,谷歌“零项目”和微软都没有在漏洞上做好应有的工作。作为科技领域数一数二的巨头,他们也要为用户的安全负责。谷歌的“零项目”基于原则提前公布漏洞,将部分用户暴露在安全隐患中,这确实不对,但微软也有一些不足。“修复漏洞本来就复杂耗时,不是每一个漏洞都能在90天内修复”,据说很少用户满意。对于普通用户来说,他们更关心的是结果而不是过程,他们更关心的是是否安全。或许微软需要提高bug修复的效率。
精彩评论