导语:微软和谷歌的研究员们之间的争论虽然仍然是不同业务层的跨界冲突,但是现在却有被拉到一个层面上的趋势。

微软和谷歌的安全研究员们之间的争论虽然仍然是不同业务层的跨界冲突,但是现在却有被拉到一个层面上的趋势。

1025-4.jpg

在被谷歌的Project Zero揭露的一系列软件问题后,微软方面显然觉得有点不开心。解决不开心的办法就是进行了回击:微软进攻安全研究团队(OSR)发现Chrome中,开源的JavaScript引擎V8存在远程代码执行漏洞,从而为微软夺回一旗。

这个漏洞获得了正式的CVE编号(CVE-2017-5121),谷歌在今年9月的Chrome 61.0.3161.100版本中将该漏洞修复。并且,从微软的企业博客得知,谷歌为此漏洞付出了7500美元的漏洞奖金。

后来,虽然是不应该做的,微软快速的站高姿态并对Chrome的这个漏洞进行指责。例如:

Chrome对远程代码执行的忽视意味着通过内存漏洞进行渗透的时间极短。

并且指出:

沙箱中进行的数次安全检查会造成绕过同源策略(SOP),给远程代码执行攻击者一个获取受害者在线服务(例如电邮,文件,网银)并保存相关凭证。

直白点说,微软就像是在说,Chrome把沙箱吹的那么厉害,但是并不能完全的将恶意渗透阻挡在外。

这个弱点已经在几周前就已修复,那么微软为啥突然把细节公开出来呢?

大概是为了警醒那个闷头苦干对外发布漏洞报告的谷歌Project Zero团队,他们也应该收敛下了。

就在几天前,谷歌的 Mateusz Jurczyk 称微软的所谓的优先级较高的Windows 10补丁将老版本系统置于危险的境地。

在5月,他的同事Tavis Ormandy在推特上说“一个有非常坏的影响的远程控制漏洞正在影响Windows Defender”。随后,微软没用几天就修复了该漏洞。

最糟糕的是,2月份Mateusz Jurczyk在披露一个微软漏洞的时候表达了一个观点:他认为这个漏洞微软会用很长时间去修复它,但是谷歌有责任在90天内容披露其细节。

现在,关于是哪个方面需要负责披露漏洞细节的观点已经成为了一个争论的话题。正如微软所说的一样:

我们在2017年9月14日向谷歌负责地披露了我们发现的可信的RCE漏洞。

就像在伤口上撒盐一样,微软利用自家新的MSRD Azure“模糊”平台去寻找新的漏洞。也许这就是用来嘲笑谷歌在用同样方法来挖掘漏洞的热情吧。

就现在来看,这个两大巨头在这之间的交锋应该不会停止。谷歌将会继续吐槽微软修补漏洞时间长,微软也会继续盯着谷歌不能避免的陷入安全困境

上述的这些事情,其实对于谷歌用户来说,完全是好事。不用太长时间,整个软件行业的大环境就会因此而去推进漏洞确认和修复的速度。就算是自信心逐渐消失了,这对大公司来说也是帮助自己来重新审视对方的这部分业务。


源链接

Hacking more

...