過往不少 Windows 漏洞都是由其他安全機構發現到,通常他們會先向 Microsoft 作出通報,然後等官方修復好之後才會公開漏洞的詳情。不過最近 Google 與 Microsoft 之間又出現了紛爭,皆因 Google 在通報了一個 Edge 及 IE 瀏覽器的漏洞後,相隔 90 日後 Microsoft 竟然仍未修復好,結果 Google 唯有向外界公佈這個漏洞的存在。
據了解早於去年 11 月 25 日,Google Project Zero 安全部門就發現到一個 Windows 10 Edge 及 IE11 瀏覽器的漏洞,並已立即向 Microsoft 通報。國家漏洞數據庫顯示該項漏洞為 CVE-2017-0037,其出現可以允許黑客遠程進行攻擊及執行任意代碼,而漏洞評分系統(CVSS)更將之分類為「高嚴重性」危險級別,幸好暫時未有證據顯示該漏洞有被大規模應用。
Google 研究員 Ivan Fratric 表示雖然他們一直不願意透露該漏洞更多細節,並已給予 Microsoft 足夠時間去解決問題。只可惜事隔 90 日後 Microsoft 卻仍未透過系統更新去進行修復,而作為負責任的訊息披露者,為保障大眾知情權,因此他們決定於本週一正式公開該項漏洞。留意 Google 今次已並非第一次公開 Windows 漏洞,比如去年 11 月他們在發現到一個 win32k 漏洞後,在向 Microsoft 通報後短短 10 日便對外公開,結果 Microsoft 就批評此舉間接通知黑客有機可乘。
來源:Gizmodo