[新聞] 微軟公開譴責Google不當揭露Windows漏洞

作者fun5566 (暱稱)

看板Gossiping

標題[新聞] 微軟公開譴責Google不當揭露Windows漏洞

時間Tue Jan 13 02:49:56 2015

1.媒體來源: ※ 例如ithome 2.完整新聞標題: 微軟公開譴責Google不當揭露Windows漏洞！ 3.完整新聞內文: 微軟安全回應中心資深總監Chris Betz指出，Google的行為瓦解了「協調的漏洞揭露原則」，就在微軟準備釋出例行性修補之前公布了微軟的漏洞，而且，微軟還曾要求Google不要在本周二前公布漏洞細節。然而， Google仍然以遵循揭露時程表（90天）為由揭露該漏洞，讓他覺得Google根本就是想要表達「被我抓到了」，而不是什麼原則性問題。文/陳曉莉 | 2015-01-12發表 Google的Project Zero安全團隊在去年12月30日透過自動系統公布了微軟Windows 8.1 Update的零時差漏洞，並公布了相關的概念驗證攻擊程式。此舉除了引起外界的批評外，現在微軟更公開譴責Google的行為。微軟表示，公司崇尚的是「協調的漏洞揭露原則」（Coordinated Vulnerability Disclosure，CVD），根據此一原則，漏洞發現者要把最新發現的漏洞私下直接提報給業者或是國家級的緊急應變中心，以讓業者有機會在該漏洞被公開揭露前進行診斷、測試，並推出解決方案，發現者也會與業者合作進行漏洞調查。不論是第三方發現微軟漏洞，或是微軟發現第三方業者的漏洞都應遵循此一原則。微軟安全回應中心資深總監Chris Betz指出，Google的行為瓦解了此一原則，就在微軟準備於每月第二個周二（1/13）進行例行性修補之前公布了微軟的漏洞，而且，微軟還曾要求Google協助微軟保護客戶，不要在本周二前公布漏洞細節。然而，Google仍然以遵循揭露時程表（90天）為由揭露了該漏洞，讓他覺得Google根本就是想要表達「被我抓到了」，而不是什麼原則性問題，因此呼籲Google應該以保護客戶為雙方合作的首要目標。 Betz表示，微軟一直認為協調式的揭露是讓客戶風險降到最低的正確做法，而在修補程式出爐前就公布漏洞細節，會使得數百萬使用者陷入風險之中，這根本是幫倒忙，即使宣稱是為了讓使用者能夠自我防禦，但更加讓駭客有機可趁，攻擊那些尚未或無法保護自己的使用者。此外，Betz也解釋，處理安全漏洞是一項相當複雜而且耗時的任務， ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ 還得考量在不同平台及各種使用者環境的影響，在在都增添修補程式的難度。 ^^^^ Betz說，軟體都是人類打造的，沒有完美的軟體，微軟必須維護客戶的利益並儘速且 ^^^^^^^^^^^^^^ 全面的修補漏洞。微軟感激那些正面的合作與資訊分享，但希望研究人員能夠私下向業者提報漏洞並與之合作，在修補程式出爐前不要公開分享漏洞資訊，而這也是可造福大多數客戶的作法，而那些限制或忽略合作效益的政策與作法則是個零和遊戲，將讓研究人員、 ^^^^ 業者或客戶都受到傷害。（編譯/陳曉莉） 4.完整新聞連結 (或短網址): http://www.ithome.com.tw/news/93535 5.備註: [爆卦?!] 台灣時間 01/12 08:00 am (2015.01.12.) 2015 facebook hacker cup qualification round 結束參加或通過以上這個有什麼好處? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 175.180.76.249 ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1421088599.A.1BC.html

噓 MMMB4219: 狗咬狗 01/13 02:50

噓 mikemagic88: 一嘴毛 01/13 02:51

推 L0v35: Don't be evil<3 01/13 02:55

→ larailing: 90天? 有這種事抓到漏洞當然是馬上公布阿 01/13 03:00

噓 YahooTaiwan: Google 超爛 01/13 03:00

噓 ramDisk: 滿好笑的... 01/13 03:01

噓 IDaHoo: 都是they的錯 01/13 03:02

→ YahooTaiwan: Google 現在淪為只會搞小動作的邪惡帝國 01/13 03:05

噓 maxisam: google都等90天了誰知道微軟會啥時後修 01/13 03:06

→ maxisam: 很明顯微軟早就被告知了所以才會要求G社不要公布 01/13 03:07

推 YahooTaiwan: 你以為修 bug 是點兩下左鍵就修好了喔當神蹟顯靈 01/13 03:08

→ YahooTaiwan: 嗎最好你 chrome android 就不要有 bugs 01/13 03:08

→ hoe1101: 這麼多肉洞，先管好自己吧 01/13 03:11

推 wumins: Google也開始學做惡了? 01/13 03:11

→ eruption0214: 漏洞修補前公佈細節真的不好 01/13 03:12

→ mmis1000: 幹你媽都公布90天了，駭客也不知道用幾輪了，你說不公 01/13 03:13

推 callTM: 這本來就很怪虛啥？ 01/13 03:13

推 YahooTaiwan: 修補後要怎麼各種酸言酸語隨便你阿修前公布受害的只 01/13 03:14

→ YahooTaiwan: 有使用者而已 01/13 03:14

→ mmis1000: 不就不公布歐，那你擺爛害其他人受害不就剛好而已？ 01/13 03:14

→ YahooTaiwan: 那你公布 bug 就會自動修復喔? 01/13 03:15

→ mmis1000: 又不是不公布就不會有其他人知道，google怎樣也只是發現 01/13 03:15

→ YahooTaiwan: 你不公布誰會知道? 駭客 google 得到喔? 01/13 03:15

→ mmis1000: 者之一阿 01/13 03:15

推 L0v35: 某m的邏輯XDDDDDDDDDDDDDD 01/13 03:16

→ YahooTaiwan: 你以為漏洞這麼好找喔還廣為人知咧駭客找到漏洞保 01/13 03:16

→ YahooTaiwan: 密盡情攻擊都來不及了誰跟你公布 01/13 03:16

推 zxzxzxzxzxzx: 修補前公布本來就很缺德 01/13 03:16

推 kokus: 微軟OS有漏洞也不是第一次了何時公布有差嗎? 01/13 03:17

→ mmis1000: 公佈很缺德是一回事，一個洞放3個月也爛透了阿 01/13 03:18

→ kokus: 會利用那些漏洞的人其實不需要等人家公布才會知道 01/13 03:18

推 YahooTaiwan: 你沒差總會有人有差台灣人資訊素養如此難怪會成 01/13 03:18

→ YahooTaiwan: 為 bot 的故鄉 01/13 03:19

→ mmis1000: 又不是不公布就沒人會發現 01/13 03:19

→ L0v35: 是阿那現在公布了不就大家都發現了不管原本有沒有發現der 01/13 03:19

→ L0v35: 都知道惹 01/13 03:19

噓 ghjkl1478: 誰叫你要被人家抓到 01/13 03:21

推 YahooTaiwan: Google 吃相真的越來越難看了資訊界的恥辱 01/13 03:22

→ ghjkl1478: e04樓上還我無名小站 01/13 03:25

推 sam9595: 說好的就是90天......還要看你修的進度嗎... 01/13 03:31

推 YahooTaiwan: 爲什麼大家看漏洞被公布好像跟自己無關...? 01/13 03:33

→ YahooTaiwan: 會被攻擊的不是微軟是你是身為使用者的你 01/13 03:34

噓 kululabo: 先買正版Windows再來討論微軟放幾天 01/13 03:45

推 Ricrollp: 因為稍微接觸一點資訊的人最愛拿酸微軟表示自己很厲害啊 01/13 03:46

→ nightwind209: 都90天給你又不是馬上公布修不好怪別人? 01/13 04:32

→ nightwind209: 駭客如果主要是靠GOOGLE還找漏洞真的就遜了 01/13 04:33

→ nightwind209: 駭客找到當然給自己相關駭客組織分享不分享的大多 01/13 04:34

→ nightwind209: 是自己組織夠大自己玩就好了還真以為你不說我不說 01/13 04:35

→ nightwind209: 就沒人知道? 01/13 04:35

→ nightwind209: 90天扣掉假日還有60天左右可用弄不出來恩... 01/13 04:37

→ nightwind209: 如果GOOGLE是抓到沒多久就公布我會噓GOOGLE :P 01/13 04:42

推 l1l1l1l1: 管到別人頭上去了咧白痴 01/13 04:46

推 YahooTaiwan: 60 工作天真的沒很長修 bug 完要重測這你總該知道吧 01/13 04:55

推 sam9595: 一個quarter不長？ iOS一年可以一個版本你說一個重要的 01/13 05:07

→ sam9595: bug 一個quarter修不好？人力配置夠不夠而已 01/13 05:08

推 YahooTaiwan: 於情於理都應該修完再公開抨擊，而非明知使用者是最 01/13 05:15

→ YahooTaiwan: 大的受害者還硬要公布 01/13 05:15

→ YahooTaiwan: 這種行為跟駭客沒兩樣 01/13 05:16

推 sam9595: 如果修完再公開一些公司永遠修不好或是慢慢修, 修不好只 01/13 05:28

→ sam9595: 是讓少數駭客爽爽用漏洞而已 01/13 05:28

→ nightwind209: 我了解軟體產出都會希望經過測試不過就上個月他們 01/13 05:33

→ nightwind209: 自己的更新出包要用"更新"的更新去移除我不太了解 01/13 05:34

→ nightwind209: 所謂的測試到底有沒有這回事XD 01/13 05:35

→ nightwind209: 我也相信補了A洞反而破B洞不是不會發生但是可先出 01/13 05:36

→ nightwind209: 補A洞的方法再來處理B洞但相對的官方跟駭客都得再 01/13 05:37

→ nightwind209: 去找B洞在哪邊如果寫出來B洞還比較大只能...... 01/13 05:37

→ nightwind209: 當你A洞放著不管他就是一直在那給人用就像之前 01/13 05:41

→ nightwind209: Heartbleed 經過了三年才有人注意到修理 01/13 05:41

推 berthier: 若是你發現的，你自己可以選擇不公佈，但如果不是就... 01/13 05:49

推 aq981334: 公佈前只有幾個人知道漏洞，公佈後全世界都知道漏洞 01/13 06:17

→ aq981334: 某M應該知道嚴重性了吧？ 01/13 06:18

推 kevin31a2: 要不公佈可以啊給錢 01/13 07:44

→ BlueBird5566: 60天沒很長? 笑了這裡到底有幾個工程師ㄎㄎ 01/13 07:47

推 sam9595: 這個專案絕對對網路安全大有幫助，如果90天不夠那真的只 01/13 07:50

→ sam9595: 是公司資源配置的問題而已試想如果今天是駭客第一個公布 01/13 07:51

→ sam9595: 微軟有可能等到90天之後才把它修好嗎讓人狂攻90天？ 01/13 07:52

推 longgnol: 爛微軟 01/13 08:02

推 tcancer: 事主三個月不處理別人可以公佈出來讓防毒軟體公司處理 01/13 08:14

→ tcancer: 不管你修不好還是擺爛憑甚麼要別人陪你掩耳盜鈴？ 01/13 08:15

推 linfon00: 漏洞不當揭露？？？ 01/13 08:25

推 StarChou: 一季修不好一個漏洞？微軟不是小公司ㄟ沒搞錯吧 01/13 08:46

推 lovesao: 那麼大間公司拖那麼久還不補被搞剛好啦人家不搞你還不 01/13 08:55

→ lovesao: 知道會拖多久 01/13 08:55

推 Shin722: 跟中國一樣很難死超過35個人民眾不知道中國就很安全 01/13 09:13

推 YahooTaiwan: 好吧，既然大家都不在意自己的電腦漏洞被曝光... 01/13 09:29

噓 jf7642: don't be evil的垃圾公司 01/13 09:39

→ Siu: 下次就會怕了啊 01/13 09:48

推 Jerrynet: google本來就是爛公司 01/13 11:07

噓 eterbless: google從來沒白過 01/13 12:37

推 sppmg: 本來就不關我的事，用linux中。:) 你為什麼要選win? 01/13 19:05

→ sppmg: 因為你認為他好。有一堆洞不修的你如果知道你還會認為好？ 01/13 19:06

→ sppmg: 想想ie6的時代吧！一堆bug沒在管，就擺爛啊！你真以為不公 01/13 19:08

→ sppmg: 佈你的電腦就很安全？這樣的話世界就沒有所謂的cracker了 01/13 19:09

→ sppmg: 防毒防駭公司也可以去吃屎了 01/13 19:10

噓 Wcw5504: 阿公布了不就更不安全，你這邏輯有問題 01/13 22:33