微軟和 Google 的關係在近幾日急轉直下,原因在於,Google 披露了一個 Windows 8.1 的安全性漏洞,而微軟還未對此做出更新。Google 旗下的 Project Zero 專案小組上周公佈了微軟 Windows 8.1 的一個漏洞,該漏洞能允許使用者將一般帳號的使用者,透過漏洞成為系統管理員,從而得以瀏覽電腦內的敏感性資料。
其實,Project Zero 很早就發現了該漏洞,並且早在 2014 年 10 月 31 日告知了微軟。按照 Project Zero 的說法,如果告知後 90 天內微軟沒有做出修復,該漏洞就會被公開。
Google 在去年 7 月宣佈 Project Zero 計畫,它由一組安全研究人員負責,唯一的目標就是追蹤和修復漏洞,維護所有Internet使用者的安全。這個小組主要針對零日漏洞(zero-day)而成立。零日漏洞是目前網路普遍存在的一項威脅,這些漏洞常常尚未被公開,因而使用者無法及時得到對應的安全更新。
而就在Windows 8.1 的漏洞被披露後,微軟表示,1 月 13 日是微軟的系統更新發佈日,微軟也曾要求 Google 在這個日子之前不公開這個漏洞。但是,Google 在該日期前兩天公開了漏洞細節。
Project Zero 的使命是保護網路的安全,但微軟認為它並不友好。微軟安全回應中心高級總監 Chris Betz 在聲明中說,修復漏洞是複雜而耗時的,不是每一個漏洞都能在 90 天之內得以解決。
「Google 的做法是基於他們的「原則」,而不是使用者的安全,我們強烈呼籲 Google 以保護我們共同的使用者為目標。」
Project Zero 的前世今生
Project Zero 計畫由一組安全研究人員負責,唯一的目標就是追蹤和修復漏洞,維護所有網路使用者的安全。
Project Zero 的前身是 Google 的「兼職」研究團隊,來研究一些網路安全問題。之前的成果包括發現了 Heartbleed 漏洞、幫助蘋果修復安全缺陷。
Project Zero 主要針對零日漏洞(zero-day)。零日漏洞是目前網路普遍存在的一項威脅,這些漏洞常常尚未被公開,因而用戶無法及時得到對應的更新。因而,駭客會利用零日漏洞,對人權主義人士、企業、政府的網站發起攻擊。也有駭客以此從事間諜活動、竊聽通信資訊、竊取信用卡資訊等。
Project Zero 要做的,就是發現、圍堵、修正這些漏洞。比較有意思的是,Project Zero 不止是為 Google 的產品提供解決方案,而是針對所有網路上的服務。Project Zero 還將創建一個公共資料庫,零日漏洞將被首先報告給軟體廠商。Project Zero 希望「盡可能早地」向軟體廠商通報並合作開發更新。
Google 為什麼要做 Project Zero
為什麼 Google 要高薪聘請駭客來給其他公司找漏洞呢?高薪聘請駭客有著長遠的戰略性意義——Google 為他們提供誘人的薪水、很少限制的工作環境,而他們為 Google 帶來更多的靈感和人才,今後他們也許會被派遣到其他團隊。
Google 還認為,建立起網路用戶的安全信心,可以帶來更多的廣告點擊率,對他們並沒有壞處。
和其他公司一樣,Google 已經這樣做了數年了——高價懸賞「友好」的駭客,來尋求告知產品的漏洞。但是一直尋找自家的軟體遠遠不夠:比如 Chrome 流覽器的安全性往往取決於協力廠商的程式,比如 Adobe Flash、相關的 Windows、Mac、Linux 作業系統的元素。
如此看來,Google 似乎在做一項沒什麼實質回報、目標遠大的正義之舉。全世界有那麼多的漏洞等待被發現和修復,Google 的這個小團隊似乎也沒有辦法「拯救世界」,因而 Project Zero在很多廠商眼裡看來,更像是一場行銷活動。
90天原則他們自己沒遵守的話,
是不是以後每個軟體商都能要求延期公佈呢?
微軟的自私可能會害整個 Project Zero團隊的營運受到影響
╮(╯_╰)╭
從發現到修補整整拖了一年半。
--------->>標題殺人法
還貼那種貼網址來誤導人...還好這邊留言的水準高了點
另外這一篇也寫的很差...(跟FB那位貼網址的,跟網址似乎有點關係)
什麼叫提前? 公開漏洞windows就生氣?
漏洞本來就是越快補越好,90天內已經是很少了
況且這個漏洞就算google團隊不發現...其他人也會發現,你能保證沒其他人發現嗎?
發佈這個消息也是可以讓大家知道,有這個漏洞存在
不然微軟也出一筆錢,養一個團隊來找漏洞好了
win8以後,我根本不想用windows,現在看來是值得的
自己都寫90天了 圖片也明明寫是10/13 居然還寫錯成10/31
自己算一下時間也知道10/31-1/14不到90天
要轉載也要先閱搞好嗎
把微軟打成反應慢 不重視資安的癡肥老公司
自己是正義的一方
Android 4.3 前的webview bug
google連理都懶得理
真的是多重標準
萬惡的微軟 正義的google 潮到出水的apple
其實微軟在修復bug方面一直算又快又勤的廠商
只是這個目標真的太大太明顯了
之前XP維護了十幾年 退休了也被酸
雖然 Project Zero 的行為算是義舉, 不過很可惜他們的目的無法達成, 因為自己的上級 Google 不修正漏洞, 而你沒辦法要求那些漏洞都被修正或是禁止不能修正的設備使用服務...
測試版有用過,至少比 8.1穩定不少