Windows 是全球第一大操作系统,也是全球 Bug 最多的系统,每年遭受成千上万的攻击。最令微软头疼的是,每隔一段时间,就会有新的安全漏洞被发现,因此每个月微软都要为 Windows 发布系统更新,修复这些安全问题。
你也许不知道,这些 Windows 漏洞的发现,很多时候要感谢微软竞争对手公司的安全研究人员,例如,Google。
Tavis Ormandy 是一位知名的 Google 工程师,他就曾经向微软报告了多个严重的 Windows 安全漏洞,而且还迫使微软加快了旗下软件的更新速度。
近日,Ormandy 就发现了微软反恶意软件引擎中的一个高危漏洞,Windows Defender、MSE 等多款安全防护产品都受影响。Ormandy 迅速将此问题报告给微软,微软随即进行了修复并更新了反恶意软件引擎版本。
Ormandy 并非每次都采取这种温和的动作,去年,Google 安全研究人员发现了 Windows 中的一个漏洞可能导致攻击者完全控制整个系统,但是,他们没有通知微软,而是让 Ormandy 直接公开了这个漏洞,此外,他还公布了攻击代码,这就意味着,黑客马上就能利用这些攻击代码去入侵 Windows。于是乎,微软手忙脚乱,加速了修复过程。
这事儿 Ormandy 干过不止一次,令微软又爱又恨。
早在 2010 年时,Ormandy 也是发现了 Windows 中的一个高危漏洞,并且告知微软就给他们 5 天时间修复,5 天后他就会将漏洞详情公诸于众。对于这种行为,Google 曾公开表示支持,认为这能“帮助”微软加快漏洞修复进程,帮助他们将产品变得更加安全。
其实,除了 Google,微软还同很多大企业在软件漏洞修复方面有合作,例如惠普的 Zero Day Initiative(0day 计划)。
Tavis Ormandy