谷歌揭微軟的短似乎上了癮。近日,谷歌在其Project Zero頁面上公佈了多項Windows安全漏洞,而這距離其上次揭短還不到一週。
Project Zero是谷歌所發起的一個網際網路專案,其目的是揭示全球性軟體所存在的安全問題,隨後向廠商進行通報,並給予他們90天的時間來修復或公佈問題。如果廠商無動於衷,谷歌就會將其公開。
谷歌此次所公佈的安全漏洞可讓攻擊者偽裝成使用者對Windows7或Windows 8.1的資料進行解密或加密。據悉,谷歌在2014年10月17日向微軟通報了漏洞的存在,但微軟在90天內並未採取任何行動。
“微軟通知我們稱,他們原本計劃在1月推出修復補丁,但相容性問題導致了釋出的延期,”谷歌的一名研究員在頁面上留下了這樣的評論,“因此,修復補丁預計會在2月釋出。”此外,谷歌本次披露的另一個漏洞在危險性上要低一些,它可讓攻擊者看到電源設定當中的資訊。谷歌和微軟都認為這個問題並不大,因此微軟並未打算對其進行修復。
實際上,這已不是谷歌第一次披露微軟的漏洞。上週,谷歌就曾披露微軟Windows 8.1登入功能模組中的漏洞,這一漏洞將使得駭客可以取得裝置的控制權。但對於此次披露,微軟則公開表達了不滿。
微軟安全總監克里斯・貝斯表示,微軟曾請求谷歌在90天寬限期過後的兩天後再公佈上述漏洞,因為微軟已經計劃向使用者推送修復補丁,但谷歌卻執意在90天寬限期內就公佈漏洞,這一過於死板的做法像是在陷微軟於不義,最終傷害的還是普通網際網路使用者。
“隨著網際網路安全環境越來越複雜,在應對所有網路安全的狀況時,企業應該聯合到一起,而並不是為了各自利益採取措施。對於微軟來說,製作出有效的補丁需要一定的時間,提前公開漏洞資訊對於遇到問題的公司來說也非常不公平。”克里斯・貝斯說道。
對於谷歌的做法,業界也是褒貶不一。有網路安全領域的研究人員認為谷歌的行為是不正確的,對可能由於谷歌公司此次行為受到影響的使用者表示遺憾,這已經是谷歌公司第二次因透露微軟漏洞而受到批評。
但支援谷歌的聲音卻認為,軟體開發公司應儘早發現並解決安全漏洞問題。英國知名“零日漏洞查殺”專家、“零專案”研究員本・霍克斯表示,總的來說,谷歌給予所發現漏洞的90天限期是合理且經過深思熟慮的。因為這一寬限期不僅給了軟體廠商充足的時間去修復漏洞,同時也給了使用者足夠的尊重,並讓他們瞭解自己所面臨的安全風險。
另有分析認為,谷歌之所以跟微軟“過不去”,還是源自於這兩家公司一直以來的競爭關係,其實雙方的恩怨由來已久。2012年,微軟上線了“Scroogled.com”的網頁,專門批評谷歌公司及其旗下產品,該網頁直到前不久才下線。去年,谷歌遭受歐盟反壟斷監管機構的指責,而這背後就是微軟牽頭的幾家公司告的狀。
如此看來,微軟被谷歌揭短似乎並不冤枉,這也許是雙方之間的另一種競爭手段,而這樣的競爭或許還會持續下去。