之前在 12 月底的时候,谷歌的研究人员发现了 Windows 的一个未修复漏洞,在通报微软并按他们的规定等待 90 天未果后,研究人员选择将漏洞披露,并详细描述如何利用这个漏洞的方法。今天,微软就谷歌研究人员的做法表明了自己的态度。
微软呼吁今后对于漏洞的披露,要有一个更好更严谨的协调机制。微软认为一些人,包括谷歌这样的企业,认为把漏洞发布后可以迫使软件供应商快速修复漏洞,或者他们的客户会给他们的软件商压力来解决问题。但是事情往往没有这么简单,而且这个漏洞如果是你的竞争对手发布的,更让人怀疑你的居心。
在没有全面评估过潜在的威胁,而且漏洞还处于不受任何保护的的情况下,就轻易的将漏洞发布出去,这种作法不是在帮助用户,而是把用户置于一个非常危险的境地。在漏洞揭露到补丁发布这段时间内,用户随时都可能受到不法份子的攻击。
微软安全响应中心高级主管 Chris Betz 也在博客中发文称,为安全漏洞开发补丁是一个复杂、广泛而又耗时的过程。微软已经计划在周二推出此项漏洞的补丁,并希望谷歌不要提前发布这个漏洞,谷歌却没有理会,这个决定不像是坚持原则更像是给竞争对手挖陷阱。最后他还呼吁,这个世界上没有什么软件是完美无缺的,软件供应公司应该联手协作,多沟通协调,以优先考虑用户的利益为己任。
在这件事上大多数用户还是站在微软这一边,对谷歌的做法纷纷表示不满。小编也觉得谷歌的做法有失偏颇,即便是想促使微软更快的解决的问题,但是没必要把怎么使用这个漏洞也演示出来,而且还是在微软已经准备发布补丁在即的时候。
而微软之前对待漏洞研究人员的态度也是出了名的差,研究者难以与之合作,据说有的漏洞研究人员还建议使用假名或者匿名邮件来保护自己。并且老是一副不紧不慢的样子,漏洞报告了这么久没动静,你也弄不明白他们是不是在处理这个问题,若是长久以往,没有改观,今后还要吃大亏。把客户放在第一位不是用嘴说就行了,要有实际行动。
相关文章
