自去年早些时候受到“心脏流血”漏洞的警示,谷歌便成立了漏洞查找团队“零计划”。这个团队募集了一大批网络安全研究人员,专门负责查找网络和各大软件公司产品的漏洞,目的就是为了更好的维护网络安全。
而最近这个团队似乎是摆明了要和微软过不去,频频找微软的麻烦。按照谷歌漏洞公开政策,发现一个漏洞后,他们会把这个漏洞发布到谷歌安全研究页面上并通知相关软件企业。如果企业在 90 天内不发布更新补丁,那么他们将公开这个漏洞。而在不到一个月的时间内,他们已经公开了微软 Windows 8.1 系统的两个漏洞。现在,Google 再次披露两个 Windows 漏洞。
上一次谷歌研究人员公开的是一个特权升级(EoP)漏洞,这个漏洞可能导致黑客对系统内容进行修改甚至完全掌控受害者电脑。微软在发布补丁更新后对谷歌的行为进行谴责,认为谷歌在漏洞补丁未更新前公布漏洞的行为极不负责,这将导致数百万用户处于易受攻击的状态中,并呼吁互联网公司在今后对漏洞的公布做好协调沟通,要以用户的安全为第一位。
但是谷歌似乎并不打算与微软协调沟通,就在微软发表声明后不久,谷歌“零计划”团队再次公开了微软的漏洞。这是一个新的特权升级(EoP)漏洞,黑客利用这个漏洞可以模拟身份等级来加密或者解密登录会话的数据,获取敏感信息。目前微软还未对谷歌的行为发表进一步的声明。
许多用户都谴责谷歌的行为,甚至一些安全专家也认为谷歌的做法有欠妥当。而一些激进的国外媒体甚至提议微软也去公布谷歌的漏洞进行回击。站在中立的角度来说,这将是最糟糕的局面,两大科技巨头挑起战争,最终承受伤害的还是各自的用户。希望各方保持克制加强沟通,不要做出什么不可挽回的事来。