微软周二发布警报称,它刚刚发布了一个紧急补丁以修复其软件中的一个危险漏洞。
这是一件值得注意的事情,因为微软很少发布这类紧急补丁,到目前为止它在 2014 年只发布过 9 个这类补丁。它通常会把所有的补丁都打包成一个大的补丁包,每个月集中发布一次。
几乎微软所有的安全软件都受到了这个漏洞的影响,那意味着微软为了防止黑客入侵而设计的软件自己也可能被黑客入侵了。
据悉,黑客可以利用这次的这个漏洞入侵微软的安全软件,然后关闭软件的保护功能。
这个漏洞是由专门给微软软件找麻烦的谷歌工程师塔维斯奥尔曼迪(Tavis Ormandy)发现的。他经常会在微软修复漏洞前公开那些漏洞的资料,结果也给黑客们提供了可乘之机。
但是这次,奥尔曼迪似乎没有在微软修复漏洞前公开漏洞的信息。
这是一件好事,因为这次的这个漏洞牵涉的范围太广,涵盖了微软 Windows 系统中的免费杀毒软件 Microsoft Security Essentials、企业安全产品 Forefront 以及微软一直在大力向企业用户推广的安全云服务 Intune 等。
但是微软知道,如果奥尔曼迪认为微软太拖拉的话,他肯定会公开这个漏洞的信息。
一年之前,奥尔曼迪在 Windows 软件中发现了一个漏洞,黑客可以利用该漏洞入侵 Windows 系统并造成系统崩溃或窃取系统的控制权,他在微软发布补丁修复漏洞前公开了那个漏洞的信息,他甚至还发布了一段破解代码以演示如何利用那个漏洞。
这只是微软和奥尔曼迪之间已经进行了很长时间的较量的一部分,这给微软带来了巨大的压力,它必须加快对安全问题作出反应的速度。
微软在安全方面的反应一直比较迟钝,当然这跟 Windows 系统太流行以致于它一直是黑客瞄准的目标也有很大的关系。
早在 2010 年的时候,奥尔曼迪就曾向微软施压,结果惹怒了安全界的不少人。他向微软报告了一个漏洞,但他只给微软 5 天的时间去开发和发布补丁,时间一到他就公开与那个漏洞有关的信息。
在安全界,标准的反应期限是 30 天到 60 天。很多安全专家在发现漏洞后都急于公开有关的信息,因为这就是他们扬名天下的方式,也是他们展示自身价值的机会。
去年,谷歌为奥尔曼迪提供了巨大的支持,它修改了其公布信息的政策。谷歌声称,如果它的工程师在其他公司的软件中发现了安全漏洞,他们只会等 7 天的时间,7 天之后就会公开相关的信息。
谷歌说,他们的目标是让所有的公司都积极行动起来,在需要修复他们的软件漏洞时更快地作出反应。
奥尔曼迪将继续与微软纠缠下去,他关注的下一个目标是微软的 Windows 8 系统。就在上个月,他还在 Twitter 上公布了他在 Windows 8 软件中发现的一个新漏洞。(林靖东)