微軟對Chrome及Opera發布第三方漏洞通報

微軟週二(4/19)發出兩則資安通告，指出Google Chrome及Opera兩款第三方製作的瀏覽器有漏洞，微軟發現漏洞後均告知對方，目前Google與Opera也都已經修補完成。

微軟在2009年也曾經揭露Chrome Frame漏洞，但當時僅通知Google，並由Google在修補後發出公告。這次的兩份通告是微軟首度針對第三方產品漏洞發出資安通告。

微軟在第一份通告中指出，Chrome 6.0.472.55及之前版本含有一個「使用釋放後記憶體物件壽命缺陷」(use-after-free object lifetime flaw)，導致Chrome停止回應或跳出，並允許惡意程式在砂箱內執行任意指令，但可能仍受砂箱無法隨意讀寫資料的限制。Google已經於去年9/14修補該漏洞。

第二份通告則指出Chrome 8.0.552.210版、Opera 10.62兩個瀏覽器包括之前版本，沒有遵守HTML5對於用戶資料的保護規範，可能導致惡意網站攻擊。Google於去年12/02修補，Opera則是在去年10/12釋出10.63板修補。

去年Google與微軟之間，為了系統或應用程式的漏洞公布問題至少產生兩次紛爭。一是去年六月Google工程師Tavis Ormandy直接在論壇公布Windows XP與Windows Server 2003的安全漏洞及概念性驗證程式；第二次是去年九月Google工程師Chris Evans在Full Disclosure mailing list揭露IE一個陳年的CSS安全漏洞。

根據微軟所公布的文件表示，該公司從去年七月開始，規定所有員工不管是在上班時間或個人時間，只要發現漏洞均需提報。若是微軟之外的廠商產品出現問題，則由員工本人名義通知該廠商。微軟並規定必須由廠商公布該漏洞相關資料，除非該廠商置之不理、超過六十天還未修補，或者該漏洞已經遭散佈。

微軟可能在相關政策有所改變，否則自去年七月至今已經約9個月，不應該到目前才開始發佈相關訊息，尤其是第三方公布超過一季之後。部分媒體認為微軟在示範所謂「負責任的漏洞揭露方式」，微軟曾指責Tavis Ormandy暴露零時漏洞是不負責任的作法，不但無法降低用戶損失，反而放大災情。（編譯/沈經）