微软终于抓住谷歌把柄 “负责任披露”Chorme远程代码执行漏洞

发布时间:2017-10-26 来源:安全牛 作者:nana

 软件巨头微软,在公布谷歌Chrome浏览器RCE漏洞上,动作奇快。当然,今年早些时候,谷歌也曾两度披露微软未修复安全漏洞,让微软很是难堪。

去年,微软发布博客文章,批评谷歌的安全漏洞披露是不负责任的——在微软准备打补丁之前,就曝出了重大Windows漏洞。

上周,微软终于抓到机会,展示它认为的负责任披露是什么样的:在博客帖子中,微软描述了其上个月就发现,且在9月14号就通告谷歌的一个Chrome远程漏洞。

微软攻击性安全研究(OSR)团队在帖子中说:“CVE-2017-5121的发现表明,现代浏览器中,是有可能出现可远程利用的漏洞的。Chrome在RCE缓解上的相对缺乏,意味着从内存崩溃漏洞到漏洞利用之路,可能会很短。”

谷歌在一周之内便在贝塔版Chrome中修复了该问题,但微软指出,尽管现在已修复,该稳定而公开的渠道“依然在风险中暴露了近一个月。”

微软称,这可不是什么小事,因为谷歌在稳定渠道修复之前,就将补丁源代码在GitHub上公开了,也就是说,至少在理论上,攻击者有一个月的时间来利用该漏洞。

微软宣称:“这对开源项目而言情有可原,但在补丁可用之前就让攻击者知晓漏洞,那就有问题了。”

微软称,尽管其自身Edge浏览器也有部分是开源的,“我们认为有必要先将补丁发布给客户,而不是早早将其公开。”

谷歌为该Chrome漏洞,向微软支付了7500美元的漏洞奖金。另有为其他漏洞发放的8337美元,则被微软捐去做了慈善。

赛迪智库是中国工业和信息化领域的知名思想库,直属于国家工业和信息化部中国电子信息产业发展研究院。自成立二十余年以来,秉承“面向政府,服务决策”的宗旨,赛迪智库专业从事软科学工作,积极开展基础研究、预先研究和对策研究,毅力为政府提供决策咨询和支撑服务。

联系方式:刘颖

电话:(010)68200552

邮箱:liuying@ccidthinktank.com

公司地址:北京市海淀区万寿路27号电子大厦4层