谷歌工程师经常发现并报道微软产品中的安全漏洞,但这个月他们破了自己的纪录。谷歌一位自称为“微软黑客”的安全工程师Mateusz "j00ru" Jurczyk向微软报告了32个“重要”漏洞,这只比“危险”只差一个级别。另一位谷歌安全工程师Gynvael Coldwind则报告了其中的5个漏洞。
每次安全升级贡献中都有谷歌工程师的身影,但这个月出乎意料的高。谷歌工程师在去年10月、11月和12月各报告了一个漏洞,今年1月没有。二月微软修补的漏洞接近最高纪录64个。
微软欢迎外部人士报告漏洞,自2000年开始,它都会在每次安全升级中附上“感谢”名单。微软表示:“如果一位安全专家出现在微软安全公告牌致谢名单中,这意味着他向我们报告了安全漏洞,并协助我们开发出了补丁,并帮助我们在威胁出现前就发布了相关消息。”
谷歌工程师此前揭露过许多微软漏洞,但他们并不总是悄悄报告。2010年6月,一位谷歌工程师公布了一个很严重的Windows漏洞,但他在发布完整攻击代码之前,只给了微软五天时候封堵漏洞。微软对此恼羞成怒,进而实施了“非微软产品”漏洞报告政策,并开始发布谷歌产品的漏洞报告。2012年7月,一位微软工程师声称发现了Android设备上的大型僵尸网络和恶意软件,但谷歌对此予以否认。
对于为什么花如此多的时间研究Windows,Jurczyk没有回应置评,但这些漏洞可能是在研究其他产品时被发现的,例如在谷歌Chrome中内嵌PDF查看器。对于严重漏洞,工程师一般会公开发布在博客帖子中,以显示自己技术高超。但如果是小漏洞,为了保护消费者的利益,谷歌工程师一般会向微软报告。
对于谷歌工程师的做法,谷歌一位代表发表声明称:“保护互联网用户安全并不仅仅是确保谷歌产品安全。我们在多个平台测试产品和服务时,经常都会报告我们发现的漏洞。向软件开发商报告漏洞是保持健康安全社区的负责任方式。”
(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)