965 微軟

微軟終於抓住穀歌把柄 “負責任披露”Chorme遠程代碼執行漏洞

微軟稱：“Chrome在遠程代碼執行(RCE)緩解上的相對缺乏，意味著從內存崩潰漏洞到漏洞利用之間的路徑，可能會非常短。”

軟件巨頭微軟，在公布穀歌Chrome瀏覽器RCE漏洞上，動作奇快。當然，今年早些時候，穀歌也曾兩度披露微軟未修複安全漏洞，讓微軟很是難堪。

去年，微軟發布博客文章，批評穀歌的安全漏洞披露是不負責任的——在微軟準備打補丁之前，就曝出了重大Windows漏洞。

上周，微軟終於抓到機會，展示它認為的負責任披露是什麼樣的：在博客帖子中，微軟描述了其上個月就發現，且在9月14號就通告穀歌的一個Chrome遠程漏洞。

微軟攻擊性安全研究(OSR)團隊在帖子中說：“CVE-2017-5121的發現表明，現代瀏覽器中，是有可能出現可遠程利用的漏洞的。Chrome在RCE緩解上的相對缺乏，意味著從內存崩潰漏洞到漏洞利用之路，可能會很短。”

穀歌在一周之內便在貝塔版Chrome中修複了該問題，但微軟指出，盡管現在已修複，該穩定而公開的渠道“依然在風險中暴露了近一個月。”

微軟稱，這可不是什麼小事，因為穀歌在穩定渠道修複之前，就將補丁源代碼在GitHub上公開了，也就是說，至少在理論上，攻擊者有一個月的時間來利用該漏洞。

微軟宣稱：“這對開源項目而言情有可原，但在補丁可用之前就讓攻擊者知曉漏洞，那就有問題了。”

微軟稱，盡管其自身Edge瀏覽器也有部分是開源的，“我們認為有必要先將補丁發布給客戶，而不是早早將其公開。”

穀歌為該Chrome漏洞，向微軟支付了7500美元的漏洞獎金。另有為其他漏洞發放的8337美元，則被微軟捐去做了慈善。

最後更新：2017-10-23 12:26:54