2
谷歌發現了Windows 8.1系統里的錯誤,稱其存在安全漏洞,普通用戶也可以以管理員的身份獲取敏感信息。最讓微軟感到坑爹的還不是這個——而是谷歌團隊早在幾天前就已經按照計劃披露這個消息了。
谷歌的“零計劃”旨在跟蹤軟件系統里的缺陷,并在第一時間內讓相應供應商獲悉。——聽起來的確高大上。
谷歌最近就“告狀”了,要求微軟在90天內修復其系統錯誤。
微軟很快作出了解釋,認為入侵者“需要擁有有效的登錄憑證,并且只能在特定的電腦上操作”。盡管這種危害只是小范圍的,它也是一個嚴重的問題,比如擁有某些項目經驗的中層員工會對這類缺陷感到不滿。
盡管如此,一些觀察員也質疑,谷歌在披露日期上如此一根筋,是不是真的能“你好我好大家好”?
有專家認為,如果不這樣的話,微軟可以有更多時間來修復錯誤。在谷歌的相關政策里所示如下:“關于零計劃的披露日期……我們允許軟件供應商擁有適當的時間對它們的運行缺陷進行修復,而與此同時,供應商也需要尊重使用者了解自己所面對風險的權利。”但谷歌也保留了最終解釋權,“我們也將密切關注這一政策所帶來的影響”。
在同一時間,微軟發布聲明表示,目前公司正在“解決特權安全問題”。
來看看兩家各自的完整聲明說了什么吧:
微軟:
我們正在致力于解決特權安全問題,并進行系統更新。要特別指出的一點是,入侵者如果試圖進入系統,首先需要獲得有效的登錄憑證,而且還需要在指定電腦上進行這一系列的操作。對此,我們鼓勵用戶對他們的殺毒軟件進行更新,在電腦上安裝有效的安全更新以及防火墻。
谷歌:
昨天,我們還在猶豫是否要和微軟進行溝通,最終我們發布聲明如下:
首先,我們在9月30日就已經向微軟告知了ahcache.sys/NtApphelpCacheControl上的錯誤。在左側欄里,這個錯誤已經顯示為“已告知”狀態。這份首次聲明也告知他們,我們設定了90天的披露期限,建議微軟在此之間進行修復。
團隊在2014年初就設定了零計劃的披露期限。這個限度是行業多年來討論漏洞修復而得出的一個結果。自2001年的“責任披露”原則發布以來,安全研究員在過去13年都一直沿用同樣的披露準則。同時我們也認為,我們的披露原則也需要和信息生態系統與時俱進,威脅在變化,我們的披露政策也需要相應作出改變。
零計劃堅信,披露期限現在是保障用戶安全的最佳方式,它允許軟件供應商擁有適當的時間對它們的運行缺陷進行修復,而與此同時,供應商也需要尊重使用者了解自己所面對風險的權利。這一方式能夠撤銷供應商對安全事項的無限解釋權,目的在于讓用戶對漏洞及時作出反應,也賦予用戶跟供應商追究責任的底氣。
我們也將密切關注這一政策所帶來的影響。一切的決策都是基于數據,我們也會持續尋找幫助用戶提升安全性能的解決途徑。我們非常高興地看到,首發結果顯示,報告中發布的錯誤能在期限內解決,對此我們對供應商的辛勤付出致以誠摯的謝意。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
