|
|
Google与Windows在Windows漏洞披露方面发生冲突,远程控制软件,灰鸽子下载
Google和微软正在对漏洞的披露进行纠正。周一,谷歌透露了Windows的一个严重的缺陷,它给了微软一个十天的窗口,以警告公众。
Google和微软正在对漏洞的披露进行纠正。周一,谷歌透露了Windows的一个严重的缺陷,它给了微软一个十天的窗口,以警告公众。
Google发布了其安全博客上的零日漏洞,称微软尚未发布修复或发布有关软件漏洞的建议。
“这个漏洞是特别严重的,因为我们知道它正在被积极利用,”谷歌说。它允许黑客利用Windows内核中的一个错误,通过win32k.sys系统调用,绕过安全沙箱。
搜索巨头最初告诉微软10天前,10月21日,它等待公开说任何事情,微软可以解决这个问题。但Google有一个严格的政策,给供应商只有七天的时间来发布补丁或发出有关缺陷的警告。
Google在2013年的一篇博文中说,“七天是一个激进的时间表,可能太短了,部分供应商无法更新他们的产品。”但是应该有足够的时间公布可能的缓解措施。
微软抨击了谷歌的举动。 “我们相信协作的漏洞披露,而今天Google的披露可能会给客户带来潜在风险,”该公司周一在一封电子邮件中说。
这不是第一次两家公司不同意披露漏洞。 2015年,谷歌在Windows发布未公开的漏洞之前,微软才有机会发布补丁。这促使微软投诉。
该公司当时表示,“虽然遵守了谷歌公布的披露时间表,但决定感觉不像原则,更像是一个”骗子“,客户可能会受到影响。
基于风险安全的脆弱性智能总监Brian Martin说,微软不可能在7天内拿出补丁。修复Windows漏洞可能意味着解决操作系统的几个不同平台中的问题,并确保最终的修补程序不会中断任何现有的编程,他说。
“在几天之内这样做太复杂了,”Martin说。然而,谷歌有一些理由警告公众,因为黑客已经利用这个漏洞,他说。
“回到一个古老的辩论,你应该给多少时间,”他说。 “在这种情况下,由于漏洞在野外被利用,它迫使Microsoft上升他们的日程安排。
谷歌表示,在Windows 10,其Chrome浏览器将防止发生此问题。使用自己的沙箱,浏览器可以阻止win32k.sys系统调用。
|
|
加载中...
发表于 2016-11-1 17:44:26