一個漏洞引發的暗戰,穀歌這次選擇與微軟“剛正面”
近日,穀歌專門披露安全性漏洞的部門“威脅分析集團”(Threat Analysis group)對外公佈了 Windows 作業系統的一個臨危級別的重大漏洞,同時發佈相關補丁來保護 Chrome 用戶。問題是,穀歌的 Chrome 保護補丁出來了,但微軟官方的補丁還未誕生。穀歌這一舉措徹底激怒了微軟。
微軟發怒也合情合理。
首先,穀歌在最初發現該漏洞後及時告知了微軟,微軟得知後也開始開發相關補丁,但 10 天后穀歌突然將該漏洞公開,而此時的微軟還未來得及完成補丁的開發。
此外,穀歌對 Windows 這一漏洞描述的較為具體:
由於該漏洞的存在,將允許攻擊者利用 win32k 系統上的一處瑕疵躲避安全沙箱。一旦該漏洞被駭客利用,所發起的攻擊所帶來後果的嚴重性足以將該漏洞定為“臨危”級別。目前該漏洞正在被頻繁利用。
這就尷尬了:穀歌發佈相關補丁來保護自己的 Chrome 流覽器用戶,但 Windows 自身的漏洞還未解決就被扒出來公之於眾,微軟在駭客面前無異於“裸奔”。從表面上看,穀歌為了保護 Chrome 用戶,賣了隊友。說好的默契呢?
對此微軟而言,穀歌披露的資訊無疑將微軟的客戶置於風險之中,在補丁未完成的情況嚇,如果讓其他駭客熟知微軟的漏洞,很有能會對其進行攻擊。
為此,微軟給出緊急解決方案,建議客戶使用 Windows 10 系統和微軟的 Edge 流覽器。
面對微軟的不滿,穀歌則拿出自己制定的政策鍋甩:他們表示,穀歌的舉動符合在 2013 年自己制定的產品漏洞披露資訊相關政策。谷歌在發現供應商產品上的某一漏洞後,會及時向其進行通報,並給出七天寬限期令其發佈相關補丁。即在報告給外部公司七天之後,可以對外公開漏洞。
很多研究人員抱怨谷歌的這一政策過於苛刻,認為七天的寬限期,根本拿不出合適解決方案來應對複雜的安全性漏洞。抱怨歸抱怨,政策實施三年來,鮮有廠商對該項政策進行指責,也可能出於小廠商也無法與穀歌討價還價的緣故
。但這回中槍的恰恰是敢和穀歌比劃的微軟,面對微軟,穀歌似乎也對這一漏洞的處理方式有所保留:穀歌的寬限期是七天,而這次對外公佈微軟的漏洞卻推遲到了十天,可見穀歌在面對微軟也是禮讓三分。
可以想像,穀歌在面對公佈還是不公佈之間異常糾結,公佈了則會惹怒微軟。不公佈也不行,畢竟自己制定的政策因為微軟而持續延期,容易被別人蓋上欺軟怕硬的帽子,打自己臉。
為了讓微軟熄熄火,穀歌說到在他們公開的資訊中,只是對該漏洞進行了一般性的描述,這些描述使得駭客並不能掌握系統的具體漏洞所在。與此同時,他們先是站在微軟廣大用戶的立場去發聲,旨在為使用者提供足夠的資訊以識別可能的攻擊,避免駭客輕易得手。並提醒使用者,對於 Flash 軟體要安裝自動升級程式,另外要以最快的速度安裝 Windows 作業系統的安全補丁。
隨後穀歌又站在各大軟體廠商的立場去聲明,他們希望儘早對外公開、引發廠商注意,從而讓各大廠商開發自己的補丁。
雖然穀歌認為自己公開的資訊相對而言不那麼具體,同時站在擁護廣大用戶和軟體商利益的立場上。但在微軟看來卻並非如此,這些資訊足以讓駭客知道他們的病灶所在,使得微軟 Windows 海量使用者處於危險狀態中,而且使得幾乎所有的駭客都已經知道了漏洞的存在。