微軟公開譴責Google不當揭露Windows漏洞 - 3C

微軟公開譴責Google不當揭露Windows漏洞！

Google的Project Zero安全團隊在去年12月30日透過自動系統公布了微軟Windows 8.1
Update的零時差漏洞，並公布了相關的概念驗證攻擊程式。此舉除了引起外界的批評外，
現在微軟更公開譴責Google的行為。

微軟表示，公司崇尚的是「協調的漏洞揭露原則」（Coordinated Vulnerability
Disclosure，CVD），根據此一原則，漏洞發現者要把最新發現的漏洞私下直接提報給業
者或是國家級的緊急應變中心，以讓業者有機會在該漏洞被公開揭露前進行診斷、測試，
並推出解決方案，發現者也會與業者合作進行漏洞調查。不論是第三方發現微軟漏洞，或
是微軟發現第三方業者的漏洞都應遵循此一原則。

微軟安全回應中心資深總監Chris Betz指出，Google的行為瓦解了此一原則，就在微軟準
備於每月第二個周二（1/13）進行例行性修補之前公布了微軟的漏洞，而且，微軟還曾要
求Google協助微軟保護客戶，不要在本周二前公布漏洞細節。然而，Google仍然以遵循揭
露時程表（90天）為由揭露了該漏洞，讓他覺得Google根本就是想要表達「被我抓到了」
，而不是什麼原則性問題，因此呼籲Google應該以保護客戶為雙方合作的首要目標。

Betz表示，微軟一直認為協調式的揭露是讓客戶風險降到最低的正確做法，而在修補程式
出爐前就公布漏洞細節，會使得數百萬使用者陷入風險之中，這根本是幫倒忙，即使宣稱
是為了讓使用者能夠自我防禦，但更加讓駭客有機可趁，攻擊那些尚未或無法保護自己的
使用者。此外，Betz也解釋，處理安全漏洞是一項相當複雜而且耗時的任務，還得考量在
不同平台及各種使用者環境的影響，在在都增添修補程式的難度。

Betz說，軟體都是人類打造的，沒有完美的軟體，微軟必須維護客戶的利益並儘速且全面
的修補漏洞。微軟感激那些正面的合作與資訊分享，但希望研究人員能夠私下向業者提報
漏洞並與之合作，在修補程式出爐前不要公開分享漏洞資訊，而這也是可造福大多數客戶
的作法，而那些限制或忽略合作效益的政策與作法則是個零和遊戲，將讓研究人員、業者
或客戶都受到傷害。（編譯/陳曉莉）

iThome
http://www.ithome.com.tw/news/93535

----------------

Google:抓到了，微軟放任漏洞不管，請退出市場（咦?

--