微軟終於抓住穀歌把柄 “負責任披露”Chorme遠端代碼執行漏洞

微軟稱：“Chrome在遠端代碼執行(RCE)緩解上的相對缺乏，意味著從記憶體崩潰漏洞到漏洞利用之間的路徑，

可能會非常短。”

軟體巨頭微軟，在公布穀歌Chrome流覽器RCE漏洞上，動作奇快。當然，今年早些時候，穀歌也曾兩度披露微軟未修復安全性漏洞，讓微軟很是難堪。

去年，微軟發佈博客文章，批評穀歌的安全性漏洞披露是不負責任的——在微軟準備打補丁之前，

就曝出了重大Windows漏洞。

上周，微軟終於抓到機會，展示它認為的負責任披露是什麼樣的：在博客帖子中，微軟描述了其上個月就發現，且在9月14號就通告穀歌的一個Chrome遠端漏洞。

微軟攻擊性安全研究(OSR)團隊在帖子中說：“CVE-2017-5121的發現表明，

現代流覽器中，是有可能出現可遠端利用的漏洞的。Chrome在RCE緩解上的相對缺乏，意味著從記憶體崩潰漏洞到漏洞利用之路，可能會很短。”

谷歌在一周之內便在貝塔版Chrome中修復了該問題，但微軟指出，儘管現在已修復，該穩定而公開的管道“依然在風險中暴露了近一個月。”

微軟稱，這可不是什麼小事，因為穀歌在穩定管道修復之前，就將補丁原始程式碼在GitHub上公開了，

也就是說，至少在理論上，攻擊者有一個月的時間來利用該漏洞。

微軟宣稱：“這對開源專案而言情有可原，但在補丁可用之前就讓攻擊者知曉漏洞，那就有問題了。”

微軟稱，儘管其自身Edge流覽器也有部分是開源的，“我們認為有必要先將補丁發佈給客戶，而不是早早將其公開。”

穀歌為該Chrome漏洞，向微軟支付了7500美元的漏洞獎金。另有為其他漏洞發放的8337美元，則被微軟捐去做了慈善。