2
谷歌发现了Windows 8.1系统里的错误,称其存在安全漏洞,普通用户也可以以管理员的身份获取敏感信息。最让微软感到坑爹的还不是这个——而是谷歌团队早在几天前就已经按照计划披露这个消息了。
谷歌的“零计划”旨在跟踪软件系统里的缺陷,并在第一时间内让相应供应商获悉。——听起来的确高大上。
谷歌最近就“告状”了,要求微软在90天内修复其系统错误。
微软很快作出了解释,认为入侵者“需要拥有有效的登录凭证,并且只能在特定的电脑上操作”。尽管这种危害只是小范围的,它也是一个严重的问题,比如拥有某些项目经验的中层员工会对这类缺陷感到不满。
尽管如此,一些观察员也质疑,谷歌在披露日期上如此一根筋,是不是真的能“你好我好大家好”?
有专家认为,如果不这样的话,微软可以有更多时间来修复错误。在谷歌的相关政策里所示如下:“关于零计划的披露日期……我们允许软件供应商拥有适当的时间对它们的运行缺陷进行修复,而与此同时,供应商也需要尊重使用者了解自己所面对风险的权利。”但谷歌也保留了最终解释权,“我们也将密切关注这一政策所带来的影响”。
在同一时间,微软发布声明表示,目前公司正在“解决特权安全问题”。
来看看两家各自的完整声明说了什么吧:
微软:
我们正在致力于解决特权安全问题,并进行系统更新。要特别指出的一点是,入侵者如果试图进入系统,首先需要获得有效的登录凭证,而且还需要在指定电脑上进行这一系列的操作。对此,我们鼓励用户对他们的杀毒软件进行更新,在电脑上安装有效的安全更新以及防火墙。
谷歌:
昨天,我们还在犹豫是否要和微软进行沟通,最终我们发布声明如下:
首先,我们在9月30日就已经向微软告知了ahcache.sys/NtApphelpCacheControl上的错误。在左侧栏里,这个错误已经显示为“已告知”状态。这份首次声明也告知他们,我们设定了90天的披露期限,建议微软在此之间进行修复。
团队在2014年初就设定了零计划的披露期限。这个限度是行业多年来讨论漏洞修复而得出的一个结果。自2001年的“责任披露”原则发布以来,安全研究员在过去13年都一直沿用同样的披露准则。同时我们也认为,我们的披露原则也需要和信息生态系统与时俱进,威胁在变化,我们的披露政策也需要相应作出改变。
零计划坚信,披露期限现在是保障用户安全的最佳方式,它允许软件供应商拥有适当的时间对它们的运行缺陷进行修复,而与此同时,供应商也需要尊重使用者了解自己所面对风险的权利。这一方式能够撤销供应商对安全事项的无限解释权,目的在于让用户对漏洞及时作出反应,也赋予用户跟供应商追究责任的底气。
我们也将密切关注这一政策所带来的影响。一切的决策都是基于数据,我们也会持续寻找帮助用户提升安全性能的解决途径。我们非常高兴地看到,首发结果显示,报告中发布的错误能在期限内解决,对此我们对供应商的辛勤付出致以诚挚的谢意。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。