Google的Project Zero安全團隊在去年12月30日透過自動系統公布了微軟Windows 8.1 Update的零時差漏洞,並公布了相關的概念驗證攻擊程式。此舉除了引起外界的批評外,現在微軟更公開譴責Google的行為。

微軟表示,公司崇尚的是「協調的漏洞揭露原則」(Coordinated Vulnerability Disclosure,CVD),根據此一原則,漏洞發現者要把最新發現的漏洞私下直接提報給業者或是國家級的緊急應變中心,以讓業者有機會在該漏洞被公開揭露前進行診斷、測試,並推出解決方案,發現者也會與業者合作進行漏洞調查。不論是第三方發現微軟漏洞,或是微軟發現第三方業者的漏洞都應遵循此一原則。

微軟安全回應中心資深總監Chris Betz指出,Google的行為瓦解了此一原則,就在微軟準備於每月第二個周二(1/13)進行例行性修補之前公布了微軟的漏洞,而且,微軟還曾要求Google協助微軟保護客戶,不要在本周二前公布漏洞細節。然而,Google仍然以遵循揭露時程表(90天)為由揭露了該漏洞,讓他覺得Google根本就是想要表達「被我抓到了」,而不是什麼原則性問題,因此呼籲Google應該以保護客戶為雙方合作的首要目標。

Betz表示,微軟一直認為協調式的揭露是讓客戶風險降到最低的正確做法,而在修補程式出爐前就公布漏洞細節,會使得數百萬使用者陷入風險之中,這根本是幫倒忙,即使宣稱是為了讓使用者能夠自我防禦,但更加讓駭客有機可趁,攻擊那些尚未或無法保護自己的使用者。此外,Betz也解釋,處理安全漏洞是一項相當複雜而且耗時的任務,還得考量在不同平台及各種使用者環境的影響,在在都增添修補程式的難度。

Betz說,軟體都是人類打造的,沒有完美的軟體,微軟必須維護客戶的利益並儘速且全面的修補漏洞。微軟感激那些正面的合作與資訊分享,但希望研究人員能夠私下向業者提報漏洞並與之合作,在修補程式出爐前不要公開分享漏洞資訊,而這也是可造福大多數客戶的作法,而那些限制或忽略合作效益的政策與作法則是個零和遊戲,將讓研究人員、業者或客戶都受到傷害。(編譯/陳曉莉)

熱門新聞

Advertisement