微軟終於抓住穀歌把柄 “負責任披露”Chorme遠端代碼執行漏洞
微軟稱:“Chrome在遠端代碼執行(RCE)緩解上的相對缺乏,意味著從記憶體崩潰漏洞到漏洞利用之間的路徑,
軟體巨頭微軟,在公布穀歌Chrome流覽器RCE漏洞上,動作奇快。當然,今年早些時候,穀歌也曾兩度披露微軟未修復安全性漏洞,讓微軟很是難堪。
去年,微軟發佈博客文章,批評穀歌的安全性漏洞披露是不負責任的——在微軟準備打補丁之前,
上周,微軟終於抓到機會,展示它認為的負責任披露是什麼樣的:在博客帖子中,微軟描述了其上個月就發現,且在9月14號就通告穀歌的一個Chrome遠端漏洞。
微軟攻擊性安全研究(OSR)團隊在帖子中說:“CVE-2017-5121的發現表明,
谷歌在一周之內便在貝塔版Chrome中修復了該問題,但微軟指出,儘管現在已修復,該穩定而公開的管道“依然在風險中暴露了近一個月。”
微軟稱,這可不是什麼小事,因為穀歌在穩定管道修復之前,就將補丁原始程式碼在GitHub上公開了,
微軟宣稱:“這對開源專案而言情有可原,但在補丁可用之前就讓攻擊者知曉漏洞,那就有問題了。”
微軟稱,儘管其自身Edge流覽器也有部分是開源的,“我們認為有必要先將補丁發佈給客戶,而不是早早將其公開。”
穀歌為該Chrome漏洞,向微軟支付了7500美元的漏洞獎金。另有為其他漏洞發放的8337美元,則被微軟捐去做了慈善。