在科技行业内部,一般企业或者安全人员发现了操作系统或者应用软件的漏洞,常规的做法是首先报告给开发企业,然后推迟一段时间之后再对外公开漏洞,提醒用户,同时也达到在行业内自我宣传的目的。
不过日前谷歌的所作所为却惹怒了微软。在微软尚未开发出补丁的条件下,谷歌擅自对外公布了Windows系统漏洞,把用户置于危险之下。
据美国科技新闻网站The Verge报道,日前,谷歌的“安全风险研究”部门通过官方博客对外公布了Windows操作系统的一个漏洞,这一漏洞的危险程度足以被微软公司列为“关键级别”漏洞。
谷歌披露了这一漏洞的详情,据称这一漏洞存在于Win32k系统核心中,黑客可以绕过系统内部的安全沙箱机制,发动危险攻击。谷歌也对外指出,这一漏洞正在被黑客所利用。
然而另微软十分不满的是,谷歌在十天前把这一漏洞告知了微软,而目前微软尚未开发出安全补丁程序。谷歌已经开发了相关Chrome浏览器的补丁,可以保护自己的用户,但是微软Windows海量的用户却处于了危险状态中,而且几乎所有的黑客都已经知道了漏洞的存在。
在接受科技媒体VentureBeat采访时,微软公司方面强烈抨击谷歌提前对外披露漏洞的行为。一位发言人表示,谷歌的举动把微软的客户置于危险境地中,为了实现最好的安全保护,微软建议消费者升级到Windows10操作系统以及最新版本的Edge浏览器。
据报道,谷歌这样的举动,其实符合该公司自己确定的政策,即在报告给外部公司七天之后,可以对外公开漏洞。之前,谷歌这一政策对外披露之后,引发了安全业界人士的批评,许多人指出,七天的时间不足以让厂商开发出解决漏洞的补丁程序。
据称,此次对外公布微软的漏洞,也是上述谷歌披露政策第一次被执行,而且推迟公开的时间是十天,而不是七天。虽然这引发了微软的强烈不满,但是谷歌认为,许多黑客在利用漏洞发动攻击,因此尽早对外公开、引发厂商注意十分有必要。
谷歌也提醒用户说,对于Flash软件要安装自动升级程序,另外要以最快的速度安装Windows操作系统的安全补丁。
目前,除了Windows之外,这一漏洞是否还影响到其他的外部应用软件,尚不详。
