谷歌稱:微軟安全軟件中曝出新漏洞
責編:admin |2014-06-20 14:31:40微軟周二發布警報稱,它剛剛發布了一個緊急補丁以修復其軟件中的一個危險漏洞。
這是一件值得注意的事情,因為微軟很少發布這類緊急補丁,到目前為止它在2014年只發布過9個這類補丁。它通常會把所有的補丁都打包成一個大的補丁包,每個月集中發布一次。
幾乎微軟所有的安全軟件都受到了這個漏洞的影響,那意味著微軟為了防止黑客入侵而設計的軟件自己也可能被黑客入侵了。
據悉,黑客可以利用這次的這個漏洞入侵微軟的安全軟件,然后關閉軟件的保護功能。
這個漏洞是由專門給微軟軟件找麻煩的谷歌(微博)工程師塔維斯奧爾曼迪(Tavis Ormandy)發現的。他經常會在微軟修復漏洞前公開那些漏洞的資料,結果也給黑客們提供了可乘之機。
但是這次,奧爾曼迪似乎沒有在微軟修復漏洞前公開漏洞的信息。
這是一件好事,因為這次的這個漏洞牽涉的范圍太廣,涵蓋了微軟Windows系統中的免費殺毒軟件Microsoft Security Essentials、企業安全產品Forefront以及微軟一直在大力向企業用戶推廣的安全云服務Intune等。
但是微軟知道,如果奧爾曼迪認為微軟太拖拉的話,他肯定會公開這個漏洞的信息。
一年之前,奧爾曼迪在Windows軟件中發現了一個漏洞,黑客可以利用該漏洞入侵Windows系統并造成系統崩潰或竊取系統的控制權,他在微軟發布補丁修復漏洞前公開了那個漏洞的信息,他甚至還發布了一段破解代碼以演示如何利用那個漏洞。
這只是微軟和奧爾曼迪之間已經進行了很長時間的較量的一部分,這給微軟帶來了巨大的壓力,它必須加快對安全問題作出反應的速度。
微軟在安全方面的反應一直比較遲鈍,當然這跟Windows系統太流行以致于它一直是黑客瞄準的目標也有很大的關系。
早在2010年的時候,奧爾曼迪就曾向微軟施壓,結果惹怒了安全界的不少人。他向微軟報告了一個漏洞,但他只給微軟5天的時間去開發和發布補丁,時間一到他就公開與那個漏洞有關的信息。
在安全界,標準的反應期限是30天到60天。很多安全專家在發現漏洞后都急于公開有關的信息,因為這就是他們揚名天下的方式,也是他們展示自身價值的機會。
去年,谷歌為奧爾曼迪提供了巨大的支持,它修改了其公布信息的政策。谷歌聲稱,如果它的工程師在其他公司的軟件中發現了安全漏洞,他們只會等7天的時間,7天之后就會公開相關的信息。
谷歌說,他們的目標是讓所有的公司都積極行動起來,在需要修復他們的軟件漏洞時更快地作出反應。
奧爾曼迪將繼續與微軟糾纏下去,他關注的下一個目標是微軟的Windows 8系統。就在上個月,他還在Twitter上公布了他在Windows 8軟件中發現的一個新漏洞。