Google与Microsoft通过Windows缺陷披露冲突
谷歌和微软在披露漏洞的披露中是掌握的。星期一,谷歌在Windows揭示了微软周日窗户后在Windows中展示了一个危险的缺陷来警告公众。
谷歌发布了关于其安全博客的零天漏洞,称微软尚未发布修复或发出关于软件缺陷的咨询。
“这种漏洞尤其严重,因为我们知道它正在积极剥削,”谷歌说。它让黑客通过Win32k.sys系统调用来利用Windows内核中的错误来绕过安全沙箱。
搜索巨头最初在10月21日前告诉微软有关问题的问题。它等待公开说什么,所以微软可以先解决问题。但谷歌有严格的政策,使供应商只有七天才能发布补丁或发出关于缺陷的警告。
“七天是一个激进的时间表,对于一些供应商来说可能太短暂,可以更新他们的产品,”谷歌在2013年在一篇博文邮政中表示。“但应该有足够的时间来发布可能的缓解建议。”
微软抨击谷歌的移动。“我们相信协调脆弱性披露,今天通过谷歌的披露可以让客户处于潜在风险,”星期一在一封电子邮件中表示。
这两家公司第一次不同意披露漏洞。2015年,谷歌在微软有机会发行补丁之前在Windows中披露了公开的漏洞。这提示微软抱怨。
“虽然通过对披露的宣布的宣布时间表之后,但决定的决定不那么像原则,更像是一个”哥哥“,客户可能会受到可能遭受的人,”该公司当时表示。
基于风险的安全漏洞情报总监Brian Martin表示,微软将在七天内提出补丁是不可能的。修复Windows漏洞可能意味着解决操作系统的几个不同平台中的问题,并确保所产生的修补程序不会破坏任何现有编程,他说。
“这太复杂了,在几天内,”马丁说。然而,谷歌对公众有所了解,鉴于黑客已经利用这种脆弱性,他说。
“它追溯到你应该给予多少时间的古老辩论,”他说。“在这种情况下,因为脆弱性正在野外被剥削,它迫使微软提出他们的时间表。”
谷歌表示,在Windows 10上,它的Chrome浏览器将阻止发生问题。使用自己的沙箱,浏览器可以阻止Win32k.sys系统调用。