微软指责Google提前披露Windows 8.1漏洞不顾用户安全
微软昨天对 Google 提前公布某 Windows 8.1 安全漏洞细节一事提出公开指责,称 Google 拒绝微软修复漏洞后再披露的请求是将用户置于危险的境地。
Google 的漏洞披露是其“Project Zero”安全行动计划的一部分,该计划会给漏洞责任公司 90 天的窗口时间来修复漏洞,但 90 天后就会自动披露漏洞,上面所给出的关键细节足以为黑客所利用。Google 此番公布的漏洞与 Windows 8.1 的登录机制有关,某个登录相关函数不能判断用户是否是管理员,因此黑客把自己在用户计算机的权限升级之后就可以控制该机器。微软在 Google 公布漏洞 2 天后才修复了漏洞。这已经是 Google 第二次提前微软公布漏洞了。当然,这也不算什么提前,因为 Google 给出的窗口时间是固定的。
对此微软安全响应中心在博客上的一篇文章称,对于 Google 来说正确的事情对于用户来说未必总是如此,并敦促 Google 把保护客户作为其共同目标。不过 Google 坚信自己的策略对于用户安全来说是最好的—既给了供应商合理的修复漏洞时间,又给了用户知情权。但微软批评说,研究竞争对手漏洞并限时修复否则就公布漏洞细节让黑客有可乘之机的做法不妥。
微软还在博客中解释了漏洞修复为什么超过了 90 天的时间,其主要原因是需要考虑各种客户环境下修复的影响,不同的漏洞情况是不一样,不存在明确的界定指标。其言下之意是 90 天的一刀切做法不妥。
微软和 Google 之间的争端放大了把安全界有关报告和修复安全漏洞最佳实践的分歧,即如何在保护用户和敦促软件供应商加快推出补丁之间做出平衡。
Google 的漏洞披露是其“Project Zero”安全行动计划的一部分,该计划会给漏洞责任公司 90 天的窗口时间来修复漏洞,但 90 天后就会自动披露漏洞,上面所给出的关键细节足以为黑客所利用。Google 此番公布的漏洞与 Windows 8.1 的登录机制有关,某个登录相关函数不能判断用户是否是管理员,因此黑客把自己在用户计算机的权限升级之后就可以控制该机器。微软在 Google 公布漏洞 2 天后才修复了漏洞。这已经是 Google 第二次提前微软公布漏洞了。当然,这也不算什么提前,因为 Google 给出的窗口时间是固定的。
对此微软安全响应中心在博客上的一篇文章称,对于 Google 来说正确的事情对于用户来说未必总是如此,并敦促 Google 把保护客户作为其共同目标。不过 Google 坚信自己的策略对于用户安全来说是最好的—既给了供应商合理的修复漏洞时间,又给了用户知情权。但微软批评说,研究竞争对手漏洞并限时修复否则就公布漏洞细节让黑客有可乘之机的做法不妥。
微软还在博客中解释了漏洞修复为什么超过了 90 天的时间,其主要原因是需要考虑各种客户环境下修复的影响,不同的漏洞情况是不一样,不存在明确的界定指标。其言下之意是 90 天的一刀切做法不妥。
微软和 Google 之间的争端放大了把安全界有关报告和修复安全漏洞最佳实践的分歧,即如何在保护用户和敦促软件供应商加快推出补丁之间做出平衡。关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
![聂小雨你看我有什么![打call] ](https://imgs.knowsafe.com:8087/img/aideep/2022/2/13/02174f7e485066f5455b826991210bda.jpg?w=250)
站内编辑
关注网络尖刀微信公众号随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 习近平引领网信事业高质量发展 4981186
- 2 中国人民解放军信息支援部队成立 4980425
- 3 伊朗总统发声未提及伊斯法罕爆炸 4840896
- 4 一季度农业农村经济“开门稳” 4781535
- 5 大熊猫吃笋整出了扛炮筒的架势 4612106
- 6 王婆说媒现场男子与女主播起冲突 4509479
- 7 重庆通报燃气费多计多收问题 4461285
- 8 女孩被男同学开黄腔 妈妈巧妙处理 4305554
- 9 广西白沙大道一大楼倒塌系谣言 4226791
- 10 女生结婚收到一车辣条随礼 4121974
