一直以來 Google 發現其他軟件有漏洞的話,都會通知對方。假如七天後對方沒有發表更新或者安全提示,Google 就會公布漏洞。最近 Google 便公布微軟 Windows 零時漏洞的資料,不過微軟卻不太滿意,指此舉置用戶於風險之中。
Google 於網誌表示,他們於 10 月 21 日就 Flash 和 Windows 的零時漏洞分別通知 Adobe 和微軟。Adobe 在 10 月 26 日的更新已修補漏洞,但微軟七日後仍未發表更新或安全提示,Google 遂按照公司政策將之公布。
該漏洞源自 win32k.sys,攻擊者可透過漏洞繞過沙盒防禦,Google 指漏洞已被廣泛利用,問題嚴重。
不過微軟其後發表聲明,指他們堅持有序的漏洞發布,而 Google 此舉把客戶置於風險之中,又指 Windows 是唯一對客戶承諾會調查安全報告以及積極更新的平台。
該兩間公司並非首次爭論漏洞的發布時間。2015 年一月 Google 曾兩度發布 Windows 8.1 的零時漏洞,當時微軟仍未發布更新。
Google 一直認為漏洞應盡快公布讓公眾做好準備,但不少科技公司認為 Google 只提供七日的補救時間,不充夠讓他們製作修補程式。
Source : VentureBeat