本週二,微軟在“Patch Tuesday”每月安全更新中發佈了有史以來最多的補丁,包括57個與Windows、IE和Office等產品有關的更新,而其中一半來自 Google 工程師的發現。
Google 工程師以往也曾發現並報告微軟產品的漏洞,不過本月 Google 工程師發現的漏洞數量超過了以往。自稱“Windows黑客”的 Google 信息安全工程師馬特休斯‧朱茲克(Mateusz Jurczyk)發現了32個被微軟認定為“重要”的Windows漏洞。而 Google 另一名信息安全工程師基恩維爾‧柯德文得(Gynvael Coldwind)則協助發現了5個漏洞。
此前, Google 工程師於10月、11月和12月分別報告了1個漏洞,而1月份則沒有報告任何漏洞。微軟本月共修複了64個漏洞,已接近歷史記錄。
Google 工程師曾發現過微軟產品的多個漏洞,但有時會直接公佈,而不是私下向微軟報告。2010年6月, Google 工程師報告了Windows的一個嚴重漏洞,但同時宣佈在發佈完整攻擊代碼之前只給微軟5天時間來修複。微軟對此感到惱怒,隨後宣佈了對“非微軟產品”的漏洞報告政策,開始報告 Google 產品的漏洞。2012年7月,微軟一名工程師宣稱,發現了通過Android設備的大規模殭尸網絡惡意軟件,而 Google 對此表示否認。
對於 Google 工程師為何花費大量時間來研究Windows的漏洞,朱茲克尚未做出回應。不過,這些漏洞有可能是在其他研究中發現的,例如對Chrome瀏覽器內嵌的PDF閱讀器的研究。
如果漏洞較嚴重,那麼朱茲克等工程師傾向於在自己的博客中披露技術成果。不過對於較小的安全問題, Google 工程師會以符合用戶利益的方式向微軟報告漏洞。朱茲克等人也試圖利用這些成果進行自我宣傳。柯德文得在Google+上表示:“如果你對朱茲克和我發現的Windows漏洞感興趣,你可能會想參加今年的SyScan大會。”SyScan信息安全大會將於今年4月召開。
Google 一名發言人表示:“確保互聯網用戶的安全遠遠不只是使我們自己的產品安全。在不同平台上測試產品和服務時,我們常常報告發現的漏洞。以負責任的方式向軟件提供商報告漏洞是健康的信息安全社區的一部分。
鑽石
碎鑽
金豆
評個分給朵花吧
收藏
分享
專題
提升卡
變色卡
排首位