一个漏洞引发的暗战，Google 这次选择与微软正面迎战

近日，Google 专门披露安全漏洞的部门“威胁分析集团”（Threat Analysis group）对外公布了 Windows 操作系统的一个临危级别的重大漏洞，同时发布相关修补程序来保护 Chrome 用户。问题是，Google 的Chrome 保护修补程序出来了，但微软官方的修补程序还未诞生，Google 这一举动彻底激怒了微软。

微软发怒也合情合理。

首先，Google 在最初发现该漏洞后及时告知了微软，微软得知后也开始开发相关修补程序，但 10 天后 Google 突然将该漏洞公开，而此时的微软还未来得及完成修补程序的开发。

此外，Google 对 Windows 这一漏洞描述的较为具体：

由于该漏洞的存在，将允许攻击者利用 win32k 系统上的一处瑕疵躲避安全沙盒。一旦该漏洞被黑客利用，所发起的攻击所带来后果的严重性，足以将该漏洞定为“临危”级别。目前该漏洞正在被频繁利用。

这就尴尬了：Google 发布相关修补程序来保护自己的 Chrome 浏览器用户，但 Windows 自身的漏洞还未解决就被扒出来公之于众，微软在黑客面前无异于“裸奔”。从表面上看，Google 为了保护 Chrome 用户，卖了队友，说好的默契呢？

对此微软而言，Google 披露的信息无疑将微软的客户置于风险之中，在修补程序未完成的情况下，如果让其他黑客熟知微软的漏洞，很有能会对其进行攻击。为此，微软给出紧急解决方案，建议客户使用 Windows 10 系统和微软的 Edge 浏览器。

面对微软的不满，Google 则拿出自己制定的政策，他们表示，Google 的举动符合在 2013 年自己制定的产品漏洞披露资讯相关规则。Google 在发现供应商产品上的某一漏洞后，会及时向其进行通报，并给出 7 天宽限期让其发布相关修补程序。即在报告给外部公司 7 天之后，可以对外公开漏洞。

很多研究人员抱怨 Google 的这一政策过于苛刻，认为 7 天的宽限期，根本拿不出合适解决方案来应对复杂的安全漏洞。抱怨归抱怨，规则实施 3 年来，鲜有厂商指责该项政策，也可能出于小厂商也无法与 Google 讨价还价的缘故；但这回中枪的恰恰是敢和 Google 比划的微软，面对微软，Google 似乎也对这一漏洞的处理方式有所保留：Google 的宽限期是 7 天，而这次对外公布微软的漏洞却推迟到 10 天，可见 Google 在面对微软也是礼让三分。

可以想像，Google 在面对公布还是不公布之间异常纠结，公布了则会惹怒微软；不公布也不行，毕竟自己制定的规则因为微软而持续延期，容易被别人扣上欺软怕硬的帽子，打自己脸。

为了让微软消消气，Google 说在他们公开的信息中，只是对该漏洞进行一般性的描述，这些描述并不能让黑客掌握系统的具体漏洞所在。与此同时，他们先是站在微软广大用户的立场去发声，旨在为用户提供足够的资讯以辨识可能的攻击，避免黑客轻易得手。并提醒用户，对于 Flash 软件要安装自动升级程序，另外要以最快的速度安装 Windows 操作系统的安全修补程序。

随后 Google 又站在各大软件厂商的立场声明，他们希望尽早对外公开、引发厂商注意，进而让各大厂商开发自己的修补程序。

虽然 Google 认为自己公开的资讯相对而言不那么具体，同时是站在拥护广大用户和软件商利益的立场上，但在微软看来并非如此，这些资讯足以让黑客知道他们的病灶所在，使得微软 Windows 的大量用户处于危险状态中，而且使得几乎所有的黑客都已经知道漏洞的存在。

（本文由 雷锋网 授权转载）

如需获取更多资讯，请关注微信公众账号：半导体行业观察