匯流新聞網記者/藍立晴綜合報導
現今,資安問題越來越受到重視,一有「漏洞」傳出,可能就會影響到用戶們的信心。日前,Google一個專門披露安全漏洞的部門「Threat Analysis group」就對外公佈了Windows系統的重大漏洞,並且先發佈了修補程式保護Chrome的用戶。
不過,Google這項舉動這可讓微軟感到大為不滿,因為Google在發現了漏洞之後,雖然及時告訴了微軟,而微軟也開始開發修補程式,但卻在10天後選擇將此漏洞公開,讓微軟措手不及。
Google雖然發佈了修補程式保護Chrome的用戶,但微軟自身的漏洞問題卻還沒有解決,等於微軟的用戶就這麼暴露在高風險的環境之中,Google此舉等於告訴全世界的駭客「嘿,這裡有漏洞喔!而且還沒修補好。」
Google對Windows的漏洞描述地頗為詳盡:「由於此漏洞之存在,攻擊者將可利用win32k系統上的瑕疵躲避安全沙盒,一旦遭到駭客利用,發起的攻擊後帶來的後果其嚴重性足以將此漏洞認定為『臨危』級別。」
為了解決Google這個豬隊友丟出的問題,微軟給出了緊急的解決方案,要用戶使用Windows 10以及微軟的Edge瀏覽器。
Google這樣披露產品漏洞並不是第一次,並表示自己沒有違反相關的規則(coordinated vulnerability disclosure),當Google發現某一產品上的漏洞之後,就會及時向供應商通報,給出7天的時間讓其補救、開發相關的修補程式,也就是在7天之後就可以「對外公開」。
近日,Google也揭露蘋果iOS以及OS X的安全漏洞,Google安全團隊「Project Zero」發現了蘋果OS X與iOS系統中的嚴重漏洞,駭客可以取得最高權限,獲得系統最高控制權,Google也將此項安全報告提交給蘋果,讓蘋果進行修復。
Google在今年6月就向蘋果提交這項系統漏洞,但蘋果在9月份才釋出OS X 10.12來提供緊急修復,仍未能完全解決問題,10月3日再度釋出beta版嘗試進行修復程式,一直到10月底發布OS X 10.12.1以及iOS10.1才真正完成修復工作。
Google的這項政策雖然看似過於嚴苛,但也給了微軟比7天還長的時間去解決,畢竟選擇「公布」或是「不公布」,都會惹來不滿。Google表示並沒有透露具體漏洞的所在地,單純是站在微軟的廣大用戶角度去發聲。
微軟憤怒表示,Google對此威脅的評估是錯誤的,表示「不同意Google將自己的評估定為『臨危』」,並且請用戶放心,這種攻擊對Windows10週年更新版無效。
消息來源:
[ Cnet ]:Microsoft to fix Windows flaw exploited by hackers
[ fortune ]:Google vs Microsoft
[ VentureBeat ]:Google discloses actively exploited Windows vulnerability just 10 days after reporting it to Microsoft
延伸閱讀:
匯流新聞網:〈未來資安漏洞會越難修復,台灣也將制定資安管理法〉
匯流新聞網:〈微軟系統漏洞!駭客可走「後門」〉
匯流新聞網:〈物聯網時代有利也有弊,病毒入侵智能電視!〉
【匯流筆陣】
CNEWS歡迎各界投書,來稿請寄至[email protected],並請附上真實姓名、聯絡方式與職業身份簡介。CNEWS匯流新聞網:https://cnews.com.tw
新聞照來源:www.shutterstock.com