在给予微软90天的修补时间之后,微软还是没有修补好一个漏洞,谷歌的一名研究人员最终于上周,在谷歌的安全研究网站上披露了这个Windows 8.1中的漏洞信息,在安全圈引起了一场在漏洞未修补前是否应该披露漏洞信息的争论。
这个漏洞允许低级别的Windows用户,在某种情况下成为管理员用户。谷歌表示,目前还不确定早于8.1版本的Windows是否也受到这个漏洞的影响。
“在***期限到达后,不管是否得到修复就公开漏洞,是极为不负责任的,真没想到谷歌这样的大企业也会这样做,”一名安全人员在谷歌的网站上写道。该漏洞是一个普通的本地提权漏洞。“这并不属于那种必需马上解决的高危漏洞,但令人悲哀的是,这种漏洞在Windows里一抓一大把。”
另一位研究人员则悲观的表示:“披露这样的漏洞,有着严重的后果。数十亿的用户使用Windows系统,这样做会给用户带来伤害,并且对解决问题没有任何帮助。像谷歌这样影响力巨大的企业,应该控制自己的行为,避免滥用自己的力量。”
另外一些人则称赞了谷歌坚持底线的作法。“保持(漏洞的)秘密并没有什么好处,把它曝出来反而能够警醒好那些维护系统安全的人,以尽快采取修补措施。补丁也不是解决问题的唯一办法,在补丁没有发布之前,管理员还是可以使用其他办法保护含有漏洞的系统。”
微软在一份声明中表示,将发布针对此漏洞的安全更新,并表示利用这个漏洞并不容易,必需有一个合法的用户身份在本地登录。但微软还是建议用户更新他们的防病毒软件,安装安全更新并打开计算机上的防火墙。
谷歌称,其对漏洞披露的90天截止日期是经过“多年认真考虑和行业讨论的结果”,“安全研究人员已经使用大致同样的披露原则长达13年之久……我们认为我们的披露原则需要和信息安全生态系统一起进化。换句话说,威胁发生变化时,披露原则也要相应的变化。”
谷歌将密切监视政策实施的效果,“我们想让我们的决定是数据驱动的,我们不断的寻求改善用户安全的方法。我们很高兴地说,最初的效果已经显示出大多数漏洞都在90天的披露日期之前被修复,这是对厂商努力工作的一个证明。”
原文地址:http://www.aqniu.com/threat-alert/6249.html
