据外媒报道,谷歌安全机构“威胁分析集团”(Threat Analysis group)周一在其官博上公开了Windows操作系统上存在的一处临危级别安全漏洞,并发布相关补丁来保护Chrome用户。但谷歌的这一举措却惹怒了微软。
谷歌公开的这一Windows漏洞本身非常具体:由于该漏洞的存在,将允许攻击者利用win32k系统上的一处瑕疵躲避安全沙箱。一旦该漏洞被黑客利用,所发起的攻击所带来后果的严重性足以将该漏洞定为“临危”级别。而且谷歌表示,该漏洞正在被活跃利用。
微软对谷歌这一做法非常不满,并做出了反击。“谷歌今天披露的信息,将客户置于潜在风险之中。”微软公司一位发言人表示,“为了得到最好的保护,我们建议客户使用Windows 10系统和微软的Edge浏览器。”
公开这一Windows漏洞令微软大为不快,难道是因为谷歌事先没有通知微软吗?非也。
据悉,谷歌在最初发现该漏洞后便及时通知了微软,但仅仅在过了10天之后谷歌便将该漏洞进行了公开,而此时微软还没有来得及发布相关安全补丁。于是便形成了这样一种尴尬局面:谷歌早已发布了相关补丁来保护自己的Chrome浏览器用户,但Windows自身的漏洞却依然存在。而且最为关键的是,谷歌现在公开了这一事实,使所有用户知道了真相。
在谷歌公开的信息中,只是对该漏洞进行了一般性的描述,旨在为用户提供足够的信息以识别可能的攻击,从而避免黑客轻易得手。此外,黑客利用该漏洞,同时还取决于Adobe Flash上的一处单独漏洞是否得到封堵(Adobe早已发布了该漏洞的补丁)。不过,在获悉该Windows漏洞存在后,可能会刺激更多黑客寻找尚未更新的电脑伺机发动攻击。
早在2013年,谷歌就制定了产品漏洞披露信息相关政策。按照这一政策,谷歌在发现供应商产品上的某一漏洞后,会及时向其进行通报,并给出七天宽限期令其发布相关补丁。当时,许多研究人员批评谷歌的这一政策过于苛刻,认为短暂的七天宽限期,根本不足以拿出合适解决方案来应对复杂的安全漏洞。这也是该政策实施三年来,首次遇到具体问题。
“我们鼓励用户查验自动更新是否已经更新了Flash程序,如果没有的话,请手动更新。”针对该漏洞谷歌建议称,“同时,当微软发布相关补丁时,可以申请下载Windows补丁。”