微软指责Google提前披露Windows 8.1漏洞不顾用户安全

微软昨天对Google提前公布某Windows 8.1安全漏洞细节一事提出公开指责，称Google拒绝微软修复漏洞后再披露的请求是将用户置于危险的境地。

Google的漏洞披露是其“Project Zero”安全行动计划的一部分，该计划会给漏洞责任公司90天的窗口时间来修复漏洞，但90天后就会自动披露漏洞，上面所给出的关键细节足以为黑客所利用。Google此番公布的漏洞与Windows 8.1的登录机制有关，某个登录相关函数不能判断用户是否是管理员，因此黑客把自己在用户计算机的权限升级之后就可以控制该机器。微软在Google公布漏洞2天后才修复了漏洞。这已经是Google第二次提前微软公布漏洞了。当然，这也不算什么提前，因为Google给出的窗口时间是固定的。

对此微软安全响应中心在博客上的一篇文章称，对于Google来说正确的事情对于用户来说未必总是如此，并敦促Google把保护客户作为其共同目标。不过Google坚信自己的策略对于用户安全来说是最好的—既给了供应商合理的修复漏洞时间，又给了用户知情权。但微软批评说，研究竞争对手漏洞并限时修复否则就公布漏洞细节让黑客有可乘之机的做法不妥。

微软还在博客中解释了漏洞修复为什么超过了90天的时间，其主要原因是需要考虑各种客户环境下修复的影响，不同的漏洞情况是不一样，不存在明确的界定指标。其言下之意是90天的一刀切做法不妥。

微软和Google之间的争端放大了安全界有关报告和修复安全漏洞最佳实践的分歧，即如何在保护用户和敦促软件供应商加快推出补丁之间做出平衡。

新版36氪 iOS 客户端正式上线。该有的都有了，想看创业资讯，想分享，想看视频，想来活动现场，下载36氪 iOS 客户端，即氪触达。点击链接下载：http://lnk8.cn/kIxB9s