前一次微软的不满之声犹言在耳,第二次漏洞的公布就接踵而至。
本周,谷歌再次公布了微软Windows8.1操作系统的漏洞,有报道称,该漏洞是一个新的权限提升漏洞,同时还影响到64位版本的Windows 7 Professional SP 1系统。谷歌称,将给微软90天的时间来修复此漏洞。掐指一算,这是谷歌在一周之内第二次公布微软系统漏洞了。
在上一次微软“周二补丁日”之前,微软此前曾向谷歌“Project Zero”提出要求,希望1月13日前不要公开这个漏洞,而1月13日刚好就是微软为Windows操作系统推送更新的日子(Patch Tuesday)。但谷歌还是抢先一天公布了存在于Windows 8.1登陆功能模块中的漏洞,谷歌为此行为作出的解释是:
谷歌零项目(Project Zero)所发现的安全漏洞会给予厂商90天的修复期,如果厂商没有在90天内发布大规模的修复补丁的话,这一漏洞报告便会自动公诸于众。
看起来,自动公布的行为是因为90天期限到了,而不是故意在微软发布补丁之前公布漏洞,给微软难堪,但此举终究是引发了微软不满,微软愤怒地表示:
具体来说,我们曾要求谷歌同我们合作,不要将这一漏洞在微软发布补丁前(即1月13日)公诸于众。但谷歌没有采纳我们的意见,而是执意在90天到期时公布这一漏洞。这样的做法并没有让我们感觉谷歌坚守了自己的原则,更像是在陷我们于不义,同时也置用户的安全于不顾,因为谷歌所认为正确的事情不一定就是对待用户的正确做法。在此,我们希望谷歌能同我们一道将保护用户视为自己最主要的目标。
谷歌再次充当微软系统警察的角色,或许还将与上次一样引发一些争议,给谷歌向来宣称的“不作恶”添加了反面注脚。新浪科技援引业内人士评论称:
在有相关补丁发布以前就面向公众公布安全漏洞的细节信息仅对互联网社区中的极少数人有所帮助,而对绝大多数互联网用户来说则并无好处,甚至可能会令其面临风险。因此,如果谷歌真的是对微软迟迟不发布补丁感到不满,那么应该向媒体提出此事,并向其展示该公司发现的安全漏洞,而不是发布能被任何人利用的代码。
对微软而言,谷歌以90天期限,以“安全”的名义公布漏洞的行为,一之谓甚,岂可再乎?毕竟此举将给黑客攻击Windows操作系统以可乘之机,给Windows用户带来的风险是可想而知的,当然老对手微软将同样面临更大的声誉、技术和客户流失风险,世人还会因此而认识到谷歌的安全与技术实力,因此接连两次公布微软漏洞几乎就等同于向对手和用户暗示:“你看我牛逼不?牛逼不?牛逼不?!”而微软如果继续口水战,恐怕只会让世人觉得它色厉内荏了。
要不,微软也公布几个Android系统的漏洞?