※ 本文轉寄自 ptt.cc 更新時間: 2015-01-13 08:45:25
看板 Gossiping
作者 標題 [新聞] 微軟公開譴責Google不當揭露Windows漏洞
時間 Tue Jan 13 02:49:56 2015
1.媒體來源:
※ 例如ithome
2.完整新聞標題:
微軟公開譴責Google不當揭露Windows漏洞!
3.完整新聞內文:
微軟安全回應中心資深總監Chris Betz指出,Google的行為瓦解了
「協調的漏洞揭露原則」,就在微軟準備釋出例行性修補之前公布了微軟的漏洞,
而且,微軟還曾要求Google不要在本周二前公布漏洞細節。然而,
Google仍然以遵循揭露時程表(90天)為由揭露該漏洞,讓他覺得Google根本就是想要
表達「被我抓到了」,而不是什麼原則性問題。
文/陳曉莉 | 2015-01-12發表
Google的Project Zero安全團隊在去年12月30日透過自動系統公布了
微軟Windows 8.1 Update的零時差漏洞,並公布了相關的概念驗證攻擊程式。
此舉除了引起外界的批評外,現在微軟更公開譴責Google的行為。
微軟表示,公司崇尚的是「協調的漏洞揭露原則」
(Coordinated Vulnerability Disclosure,CVD),根據此一原則,漏洞發現者
要把最新發現的漏洞私下直接提報給業者或是國家級的緊急應變中心,以讓業者有機會
在該漏洞被公開揭露前進行診斷、測試,並推出解決方案,發現者也會與業者合作進行
漏洞調查。不論是第三方發現微軟漏洞,或是微軟發現第三方業者的漏洞都應遵循此一
原則。
在該漏洞被公開揭露前進行診斷、測試,並推出解決方案,發現者也會與業者合作進行
漏洞調查。不論是第三方發現微軟漏洞,或是微軟發現第三方業者的漏洞都應遵循此一
原則。
微軟安全回應中心資深總監Chris Betz指出,Google的行為瓦解了此一原則,
就在微軟準備於每月第二個周二(1/13)進行例行性修補之前公布了微軟的漏洞,而且,
微軟還曾要求Google協助微軟保護客戶,不要在本周二前公布漏洞細節。然而,Google仍
然以遵循揭露時程表(90天)為由揭露了該漏洞,讓他覺得Google根本就是想要表達
微軟還曾要求Google協助微軟保護客戶,不要在本周二前公布漏洞細節。然而,Google仍
然以遵循揭露時程表(90天)為由揭露了該漏洞,讓他覺得Google根本就是想要表達
「被我抓到了」,而不是什麼原則性問題,因此呼籲Google應該以保護客戶為雙方合作的
首要目標。
首要目標。
Betz表示,微軟一直認為協調式的揭露是讓客戶風險降到最低的正確做法,而在
修補程式出爐前就公布漏洞細節,會使得數百萬使用者陷入風險之中,這根本是幫倒忙,
即使宣稱是為了讓使用者能夠自我防禦,但更加讓駭客有機可趁,攻擊那些尚未或無法
即使宣稱是為了讓使用者能夠自我防禦,但更加讓駭客有機可趁,攻擊那些尚未或無法
保護自己的使用者。此外,Betz也解釋,處理安全漏洞是一項相當複雜而且耗時的任務,
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
還得考量在不同平台及各種使用者環境的影響,在在都增添修補程式的難度。
^^^^
Betz說,軟體都是人類打造的,沒有完美的軟體,微軟必須維護客戶的利益並儘速且
^^^^^^^^^^^^^^
全面的修補漏洞。微軟感激那些正面的合作與資訊分享,但希望研究人員能夠私下向業者
提報漏洞並與之合作,在修補程式出爐前不要公開分享漏洞資訊,而這也是可造福大多數
客戶的作法,而那些限制或忽略合作效益的政策與作法則是個零和遊戲,將讓研究人員、
^^^^
提報漏洞並與之合作,在修補程式出爐前不要公開分享漏洞資訊,而這也是可造福大多數
客戶的作法,而那些限制或忽略合作效益的政策與作法則是個零和遊戲,將讓研究人員、
^^^^
業者或客戶都受到傷害。(編譯/陳曉莉)
4.完整新聞連結 (或短網址):
http://www.ithome.com.tw/news/93535
微軟公開譴責Google不當揭露Windows漏洞! | iThome
![[圖]]()
微軟安全回應中心資深總監Chris Betz指出,Google的行為瓦解了「協調的漏洞揭露原則」,就在微軟準備釋出例行性修補之前公布了微軟的漏洞,而且,微軟還曾要求Google不要在本周二前公布漏洞細節。然而,Google仍然以遵循揭露時程表(90天)為由揭露該漏洞,讓他覺得Google根本就是想要表達「被我抓到了」,而不是什麼原則性問題。 ...
![[圖]](http://static4.ithome.com.tw/sites/default/files/field/image/windows81__.jpg)
5.備註:
[爆卦?!] 台灣時間 01/12 08:00 am (2015.01.12.)
2015 facebook hacker cup qualification round 結束
參加或通過以上這個 有什麼好處?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 175.180.76.249
※ 文章代碼(AID): #1Kj1TN6y (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1421088599.A.1BC.html
噓 : 狗咬狗1F 01/13 02:50
噓 : 一嘴毛2F 01/13 02:51
推 : Don't be evil<33F 01/13 02:55
→ : 90天? 有這種事 抓到漏洞當然是馬上公布阿4F 01/13 03:00
噓 : Google 超爛5F 01/13 03:00
噓 : 滿好笑的...6F 01/13 03:01
噓 : 都是they的錯7F 01/13 03:02
→ : Google 現在淪為只會搞小動作的邪惡帝國8F 01/13 03:05
噓 : google都等90天了 誰知道微軟會啥時後修9F 01/13 03:06
→ : 很明顯 微軟早就被告知了 所以才會要求G社不要公布
→ : 很明顯 微軟早就被告知了 所以才會要求G社不要公布
推 : 你以為修 bug 是點兩下左鍵就修好了喔 當神蹟顯靈11F 01/13 03:08
→ : 嗎 最好你 chrome android 就不要有 bugs
→ : 嗎 最好你 chrome android 就不要有 bugs
→ : 這麼多肉洞,先管好自己吧13F 01/13 03:11
推 : Google也開始學做惡了?14F 01/13 03:11
→ : 漏洞修補前公佈細節真的不好15F 01/13 03:12
→ : 幹你媽都公布90天了,駭客也不知道用幾輪了,你說不公16F 01/13 03:13
推 : 這本來就很怪虛啥?17F 01/13 03:13
推 : 修補後要怎麼各種酸言酸語隨便你阿 修前公布受害的只18F 01/13 03:14
→ : 有使用者而已
→ : 有使用者而已
→ : 不就不公布歐,那你擺爛害其他人受害不就剛好而已?20F 01/13 03:14
→ : 那你公布 bug 就會自動修復喔?21F 01/13 03:15
→ : 又不是不公布就不會有其他人知道,google怎樣也只是發現22F 01/13 03:15
→ : 你不公布誰會知道? 駭客 google 得到喔?23F 01/13 03:15
→ : 者之一阿24F 01/13 03:15
推 : 某m的邏輯XDDDDDDDDDDDDDD25F 01/13 03:16
→ : 你以為漏洞這麼好找喔 還廣為人知咧 駭客找到漏洞保26F 01/13 03:16
→ : 密盡情攻擊都來不及了 誰跟你公布
→ : 密盡情攻擊都來不及了 誰跟你公布
推 : 修補前公布本來就很缺德28F 01/13 03:16
→ kokus …
→ : 公佈很缺德是一回事,一個洞放3個月也爛透了阿30F 01/13 03:18
→ kokus …
推 : 你沒差 總會有人有差 台灣人資訊素養如此 難怪會成32F 01/13 03:18
→ : 為 bot 的故鄉
→ : 為 bot 的故鄉
→ : 又不是不公布就沒人會發現34F 01/13 03:19
→ : 是阿 那現在公布了不就大家都發現了 不管原本有沒有發現der35F 01/13 03:19
→ : 都知道惹
→ : 都知道惹
噓 : 誰叫你要被人家抓到37F 01/13 03:21
推 : Google 吃相真的越來越難看了 資訊界的恥辱38F 01/13 03:22
→ : e04樓上還我無名小站39F 01/13 03:25
推 : 說好的就是90天......還要看你修的進度嗎...40F 01/13 03:31
推 : 爲什麼大家看漏洞被公布好像跟自己無關...?41F 01/13 03:33
→ : 會被攻擊的不是微軟 是你 是身為使用者的你
→ : 會被攻擊的不是微軟 是你 是身為使用者的你
噓 : 先買正版Windows再來討論微軟放幾天43F 01/13 03:45
推 : 因為稍微接觸一點資訊的人最愛拿酸微軟表示自己很厲害啊44F 01/13 03:46
→ : 都90天給你又不是馬上公布 修不好怪別人?45F 01/13 04:32
→ : 駭客如果主要是靠GOOGLE還找漏洞真的就遜了
→ : 駭客找到當然給自己相關駭客組織分享 不分享的大多
→ : 是自己組織夠大 自己玩就好了 還真以為你不說我不說
→ : 就沒人知道?
→ : 90天 扣掉假日還有60天左右可用 弄不出來 恩...
→ : 如果GOOGLE是抓到沒多久就公布 我會噓GOOGLE :P
→ : 駭客如果主要是靠GOOGLE還找漏洞真的就遜了
→ : 駭客找到當然給自己相關駭客組織分享 不分享的大多
→ : 是自己組織夠大 自己玩就好了 還真以為你不說我不說
→ : 就沒人知道?
→ : 90天 扣掉假日還有60天左右可用 弄不出來 恩...
→ : 如果GOOGLE是抓到沒多久就公布 我會噓GOOGLE :P
推 : 管到別人頭上去了咧 白痴52F 01/13 04:46
推 : 60 工作天真的沒很長 修 bug 完要重測這你總該知道吧53F 01/13 04:55
推 : 一個quarter不長? iOS一年可以一個版本 你說一個重要的54F 01/13 05:07
→ : bug 一個quarter修不好? 人力配置夠不夠而已
→ : bug 一個quarter修不好? 人力配置夠不夠而已
推 : 於情於理都應該修完再公開抨擊,而非明知使用者是最56F 01/13 05:15
→ : 大的受害者還硬要公布
→ : 這種行為跟駭客沒兩樣
→ : 大的受害者還硬要公布
→ : 這種行為跟駭客沒兩樣
推 : 如果修完再公開一些公司永遠修不好或是慢慢修, 修不好只59F 01/13 05:28
→ : 是讓少數駭客爽爽用漏洞而已
→ : 是讓少數駭客爽爽用漏洞而已
→ : 我了解軟體產出都會希望經過測試 不過就上個月他們61F 01/13 05:33
→ : 自己的更新出包要用"更新"的更新去移除 我不太了解
→ : 所謂的測試到底有沒有這回事XD
→ : 我也相信補了A洞反而破B洞不是不會發生 但是可先出
→ : 補A洞的方法再來處理B洞 但相對的官方跟駭客都得再
→ : 去找B洞在哪邊 如果寫出來B洞還比較大 只能......
→ : 當你A洞放著不管 他就是一直在那給人用 就像之前
→ : Heartbleed 經過了三年才有人注意到修理
→ : 自己的更新出包要用"更新"的更新去移除 我不太了解
→ : 所謂的測試到底有沒有這回事XD
→ : 我也相信補了A洞反而破B洞不是不會發生 但是可先出
→ : 補A洞的方法再來處理B洞 但相對的官方跟駭客都得再
→ : 去找B洞在哪邊 如果寫出來B洞還比較大 只能......
→ : 當你A洞放著不管 他就是一直在那給人用 就像之前
→ : Heartbleed 經過了三年才有人注意到修理
推 : 若是你發現的,你自己可以選擇不公佈,但如果不是就...69F 01/13 05:49
推 : 公佈前只有幾個人知道漏洞,公佈後全世界都知道漏洞70F 01/13 06:17
→ : 某M應該知道嚴重性了吧?
→ : 某M應該知道嚴重性了吧?
推 : 要不公佈可以啊 給錢72F 01/13 07:44
→ : 60天沒很長? 笑了 這裡到底有幾個工程師 ㄎㄎ73F 01/13 07:47
推 : 這個專案絕對對網路安全大有幫助,如果90天不夠那真的只74F 01/13 07:50
→ : 是公司資源配置的問題而已 試想如果今天是駭客第一個公布
→ : 微軟有可能等到90天之後才把它修好嗎 讓人狂攻90天?
→ : 是公司資源配置的問題而已 試想如果今天是駭客第一個公布
→ : 微軟有可能等到90天之後才把它修好嗎 讓人狂攻90天?
推 : 爛微軟77F 01/13 08:02
推 : 事主三個月不處理 別人可以公佈出來讓防毒軟體公司處理78F 01/13 08:14
→ : 不管你修不好還是擺爛 憑甚麼要別人陪你掩耳盜鈴?
→ : 不管你修不好還是擺爛 憑甚麼要別人陪你掩耳盜鈴?
推 : 漏洞 不當揭露???80F 01/13 08:25
--
※ 看板: K_hot 文章推薦值: 0 目前人氣: 0 累積人氣: 51
回列表(←)
分享