前一次微軟的不滿之聲猶言在耳,第二次漏洞的公布就接踵而至。本周,谷歌再次公布了微軟Windows8.1操作系統的漏洞,有報道稱,該漏洞是一個新的權限提升漏洞,同時還影響到64位版本的Windows 7 Professional SP 1系統。谷歌稱,將給微軟90天的時間來修復此漏洞。掐指一算,這是谷歌在一周之內第二次公布微軟系統漏洞了。
在上一次微軟「周二補丁日」之前,谷歌搶先一天公布了存在於Windows 8.1登陸功能模塊中的漏洞,谷歌為此行為作出的解釋是:
谷歌零項目(Project Zero)所發現的安全漏洞會給予廠商90天的修復期,如果廠商沒有在90天內發布大規模的修復補丁的話,這一漏洞報告便會自動公諸於眾。
看起來,自動公布的行為是因為90天期限到了,而不是故意在微軟發布補丁之前公布漏洞,給微軟難堪,但此舉終究是引發了微軟不滿,微軟憤怒地表示:
具體來說,我們曾要求谷歌同我們合作,不要將這一漏洞在微軟發布補丁前(即1月13日)公諸於眾。但谷歌沒有採納我們的意見,而是執意在90天到期時公布這一漏洞。這樣的做法並沒有讓我們感覺谷歌堅守了自己的原則,更像是在陷我們於不義,同時也置用戶的安全於不顧,因為谷歌所認為正確的事情不一定就是對待用戶的正確做法。在此,我們希望谷歌能同我們一道將保護用戶視為自己最主要的目標。
谷歌再次充當微軟系統警察的角色,或許還將與上次一樣引發一些爭議,給谷歌向來宣稱的「不作惡」添加了反面註腳。新浪科技援引業內人士評論稱:
在有相關補丁發布以前就面向公眾公布安全漏洞的細節信息僅對互聯網社區中的極少數人有所幫助,而對絕大多數互聯網用戶來說則並無好處,甚至可能會令其面臨風險。因此,如果谷歌真的是對微軟遲遲不發布補丁感到不滿,那麼應該向媒體提出此事,並向其展示該公司發現的安全漏洞,而不是發布能被任何人利用的代碼。
對微軟而言,谷歌以90天期限,以「安全」的名義公布漏洞的行為,一之謂甚,豈可再乎?畢竟此舉將給黑客攻擊Windows操作系統以可乘之機,給Windows用戶帶來的風險是可想而知的,當然老對手微軟將同樣面臨更大的聲譽、技術和客戶流失風險,世人還會因此而認識到谷歌的安全與技術實力,因此接連兩次公布微軟漏洞幾乎就等同於向對手和用戶暗示:「你看我牛逼不?牛逼不?牛逼不?!」而微軟如果繼續口水戰,恐怕只會讓世人覺得它色厲內荏了。要不,微軟也公布幾個Android系統的漏洞?
這樣的「不作惡」真的好嗎?谷歌周內第二次公布微軟Win8.1漏洞
