“微软谴责谷歌公布Windows漏洞：不顾客户安全”

本篇文章1030字，读完约3分钟

1月13日，谷歌于本月11日宣布，尽管微软要求延期，但windows 8.1登录功能模块仍存在漏洞。 据说由于这个漏洞，黑客可以获得设备的控制权。

针对谷歌的这一举动，微软高管日前在博客上表示了自己的批评和谴责，称谷歌这样做完全把个人私心放在顾客的安全上。

事实上，谷歌此前开展了一个名为“project zero”的安全漏洞暴露项目。 该团队主要由谷歌内顶级的安全工程师组成，目的是发现、跟踪和修复全球软件安全漏洞，让客户更舒适地享受互联网生活，更放心地点击广告 一般来说，谷歌在公布漏洞之前首先向软件制造商通报，并在90天内发布修复补丁。

谷歌表示，去年10月13日在微软的windows 8.1系统windows客户档案评估服务( windowselevationofprivilegeinuserprofileservice )模块中

谷歌零项目中发现的安全漏洞将给予制造商90天的修复期。 如果制造商在90天内没有发布大型修复修补程序，则此漏洞报告将自动发布。 谷歌在自己的博客上写了。

对此，M icrosoft Security Director OFresearch的克里斯·贝丝发表了长文博客“呼吁共同公开更好的漏洞”。 微软已经要求谷歌在1月13日之后，也就是90天宽限期后2天公布上述漏洞。 因为微软已经预定了，贝斯认为谷歌这种死板的方式最终受害的是普通网民。

具体来说，我们要求谷歌协助微软在发布补丁之前，也就是1月13日，不要公开这个漏洞。 但是，谷歌没有采纳我们的意见，主张在90天到期时发表这个漏洞。 用这样的方法，我不觉得谷歌在保护自己的基本知识。 就像让我们陷入不义，不顾顾客的安全。 因为，谷歌认为正确的事件不一定是针对顾客的正确方法。 在这里，我们希望谷歌把与我们一起保护客户作为最优先的目标。 贝丝在博客上这样写道。

这不是谷歌第一次通过零项目曝光微软的安全漏洞，应该说迄今为止双方也因同样的事件在媒体上大吵了一架。 贝丝认为，安全漏洞修复是一项广泛、繁多、耗时的工作，每个安全漏洞都不同，可能在90天内无法完全修复。

对于微软的指责，谷歌没有立即置评。 但是，英国知名零迪脆弱性调查专家零项目研究员本·霍克斯( ben hawkes )不同意微软的指责，总结而言，零项目对被发现漏洞的90天期限是合理的，经过深思熟虑的。 这个宽限期不仅可以给软件制造商足够的时间来修复漏洞，还可以让他们充分尊重客户，了解安全风险。

来源：UI科技日报