系统粉 > IT资讯 > 微软资讯

微软终于抓住谷歌把柄 “负责任披露”Chorme远程代码执行漏洞

发布时间:2017-10-23    浏览数:
微软终于抓住谷歌把柄 “负责任披露”Chorme远程代码执行漏洞(1)

微软称:“Chrome在远程代码执行(RCE)缓解上的相对缺乏,意味着从内存崩溃漏洞到漏洞利用之间的路径,可能会非常短。”

微软终于抓住谷歌把柄 “负责任披露”Chorme远程代码执行漏洞(2)

软件巨头微软,在公布谷歌Chrome浏览器RCE漏洞上,动作奇快。当然,今年早些时候,谷歌也曾两度披露微软未修复安全漏洞,让微软很是难堪。

去年,微软发布博客文章,批评谷歌的安全漏洞披露是不负责任的——在微软准备打补丁之前,就曝出了重大Windows漏洞。

上周,微软终于抓到机会,展示它认为的负责任披露是什么样的:在博客帖子中,微软描述了其上个月就发现,且在9月14号就通告谷歌的一个Chrome远程漏洞。

微软终于抓住谷歌把柄 “负责任披露”Chorme远程代码执行漏洞(3)

微软攻击性安全研究(OSR)团队在帖子中说:“CVE-2017-5121的发现表明,现代浏览器中,是有可能出现可远程利用的漏洞的。Chrome在RCE缓解上的相对缺乏,意味着从内存崩溃漏洞到漏洞利用之路,可能会很短。”

谷歌在一周之内便在贝塔版Chrome中修复了该问题,但微软指出,尽管现在已修复,该稳定而公开的渠道“依然在风险中暴露了近一个月。”

微软称,这可不是什么小事,因为谷歌在稳定渠道修复之前,就将补丁源代码在GitHub上公开了,也就是说,至少在理论上,攻击者有一个月的时间来利用该漏洞。

微软宣称:“这对开源项目而言情有可原,但在补丁可用之前就让攻击者知晓漏洞,那就有问题了。”

微软称,尽管其自身Edge浏览器也有部分是开源的,“我们认为有必要先将补丁发布给客户,而不是早早将其公开。”

谷歌为该Chrome漏洞,向微软支付了7500美元的漏洞奖金。另有为其他漏洞发放的8337美元,则被微软捐去做了慈善。

上一篇:为什么IBM、微软、耐克的销售团队如此厉害? 看看他们的培训就知道了 下一篇:微软Xbox One X首批兼容游戏列表公开 《星球大战》领衔

相关资讯

最新热门应用

电脑问答