一個漏洞引發的暗戰，谷歌這次選擇與微軟“剛正面”

近日，谷歌專門披露安全漏洞的部門“威脅分析集團”（Threat Analysis group）對外公布了 Windows 操作系統的一個臨危級別的重大漏洞，同時發布相關補丁來保護 Chrome 用戶。問題是，谷歌的 Chrome 保護補丁出來了，但微軟官方的補丁還未誕生。谷歌這一舉措徹底激怒了微軟。

微軟發怒也合情合理。

首先，谷歌在最初發現該漏洞后及時告知了微軟，微軟得知后也開始開發相關補丁，但 10 天后谷歌突然將該漏洞公開，而此時的微軟還未來得及完成補丁的開發。 

此外，谷歌對 Windows 這一漏洞描述的較為具體：

由于該漏洞的存在，將允許攻擊者利用 win32k 系統上的一處瑕疵躲避安全沙箱。一旦該漏洞被黑客利用，所發起的攻擊所帶來后果的嚴重性足以將該漏洞定為“臨危”級別。目前該漏洞正在被頻繁利用。

這就尷尬了：谷歌發布相關補丁來保護自己的 Chrome 瀏覽器用戶，但 Windows 自身的漏洞還未解決就被扒出來公之于眾，微軟在黑客面前無異于“裸奔”。從表面上看，谷歌為了保護 Chrome 用戶，賣了隊友。說好的默契呢？

對此微軟而言，谷歌披露的信息無疑將微軟的客戶置于風險之中，在補丁未完成的情況嚇，如果讓其他黑客熟知微軟的漏洞，很有能會對其進行攻擊。為此，微軟給出緊急解決方案，建議客戶使用 Windows 10 系統和微軟的 Edge 瀏覽器。

面對微軟的不滿，谷歌則拿出自己制定的政策鍋甩：他們表示，谷歌的舉動符合在 2013 年自己制定的產品漏洞披露信息相關政策。谷歌在發現供應商產品上的某一漏洞后，會及時向其進行通報，并給出七天寬限期令其發布相關補丁。即在報告給外部公司七天之后，可以對外公開漏洞。

很多研究人員抱怨谷歌的這一政策過于苛刻，認為七天的寬限期，根本拿不出合適解決方案來應對復雜的安全漏洞。抱怨歸抱怨，政策實施三年來，鮮有廠商對該項政策進行指責，也可能出于小廠商也無法與谷歌討價還價的緣故。但這回中槍的恰恰是敢和谷歌比劃的微軟，面對微軟，谷歌似乎也對這一漏洞的處理方式有所保留：谷歌的寬限期是七天，而這次對外公布微軟的漏洞卻推遲到了十天，可見谷歌在面對微軟也是禮讓三分。

可以想象，谷歌在面對公布還是不公布之間異常糾結，公布了則會惹怒微軟。不公布也不行，畢竟自己制定的政策因為微軟而持續延期，容易被別人蓋上欺軟怕硬的帽子，打自己臉。

為了讓微軟熄熄火，谷歌說到在他們公開的信息中，只是對該漏洞進行了一般性的描述，這些描述使得黑客并不能掌握系統的具體漏洞所在。與此同時，他們先是站在微軟廣大用戶的立場去發聲，旨在為用戶提供足夠的信息以識別可能的攻擊，避免黑客輕易得手。并提醒用戶，對于 Flash 軟件要安裝自動升級程序，另外要以最快的速度安裝 Windows 操作系統的安全補丁。

隨后谷歌又站在各大軟件廠商的立場去聲明，他們希望盡早對外公開、引發廠商注意，從而讓各大廠商開發自己的補丁。

雖然谷歌認為自己公開的信息相對而言不那么具體，同時站在擁護廣大用戶和軟件商利益的立場上。但在微軟看來卻并非如此，這些信息足以讓黑客知道他們的病灶所在，使得微軟 Windows 海量用戶處于危險狀態中，而且使得幾乎所有的黑客都已經知道了漏洞的存在。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。