微軟與谷歌工程師的軟件漏洞紛爭
周二,微軟為旗下安全軟件產(chǎn)品發(fā)布了一個緊急修復補丁。 我們會注意到它,因為微軟很少發(fā)布緊急補丁,他們一般在每個月的第二個星期二集中發(fā)布旗下軟件產(chǎn)品的所有補丁。微軟很有必要發(fā)布這個緊急補丁,因為發(fā)現(xiàn)這 一安全漏洞的發(fā)現(xiàn)者是谷歌安全軟件工程師泰威·奧曼迪(Tavis Ormandy)。奧曼迪會很快對外公開這個漏洞,完全不理睬微軟是否已經(jīng)修復它,甚至對外聲稱微軟難以合作。
正因為多次發(fā)現(xiàn)微軟軟件產(chǎn)品漏洞,還常常在微軟修復之前,公開演示黑客會如何利用這一漏洞發(fā)起安全威脅,所以奧曼迪在業(yè)內(nèi)非常有名。就在一年前,奧曼迪發(fā)現(xiàn)了一個可以讓黑客獲得對Windows的控制權(quán)或讓它崩潰的Bug,他不但在微軟修復前公布了這個Bug,還發(fā)布了exploit代碼展示他們?nèi)绾卫眠@個Bug,這只是微軟與奧曼迪安全漏洞沖突的一部分。
2010年,奧曼迪只給了微軟5天時間修復他所發(fā)現(xiàn)的一個漏洞。這一舉動引發(fā)了業(yè)內(nèi)極大非議,因為安全軟件產(chǎn)業(yè)內(nèi)的一般公開時間是30天到60天。 太遲公布自己發(fā)現(xiàn)的安全漏洞,會導致軟件公司動作遲緩,最終讓黑客捷足先登。太早公布漏洞,無異于幫助黑客威脅計算機產(chǎn)業(yè)安全,尤其是在微軟軟件產(chǎn)品被到 處使用,同時被全世界的黑客死死盯住的情況下,這種做法在中國叫:助紂為虐。
去年,谷歌公開支持奧曼迪的做法,并改變了他們的漏洞披露政策。他們宣稱,如果谷歌工程師在其他公司的軟件中發(fā)現(xiàn)漏洞,他們會在7天之后對外公布。這樣做的理由是,幫助全球軟件公司快速修復自己的漏洞。
同時,奧曼迪依然沒有停止自己的行動,他最近比較感興趣的是Windows 8。上個月,他在推特上聲稱,自己在Windows 8上發(fā)現(xiàn)了一個Bug。
所以這一回,微軟能趕在奧曼迪的公開之前發(fā)布補丁是非常幸運的。幾乎所有的微軟安全軟件產(chǎn)品都受到這個漏洞的波及,它們包括Microsoft Security Essentials(MSE)防病毒軟件,企業(yè)級安全軟件產(chǎn)品Forefront,云安全服務 Intune等。這些安全軟件保護著大量的微軟軟件產(chǎn)品 的安全,如果漏洞被黑客利用,后果不堪設想。
微軟在緊急安全補丁公告中聲稱,感謝奧曼迪為微軟用戶免于安全威脅所作的貢獻。
