中国邮箱网讯 1月13日消息，微软昨天对 Google 提前公布某 Windows 8.1 安全漏洞细节一事提出公开指责，称 Google 拒绝微软修复漏洞后再披露的请求是将用户置于危险的境地。

Google 的漏洞披露是其“Project Zero”安全行动计划的一部分，该计划会给漏洞责任公司 90 天的窗口时间来修复漏洞，但 90 天后就会自动披露漏洞，上面所给出的关键细节足以为黑客所利用。Google 此番公布的漏洞与 Windows 8.1 的登录机制有关，某个登录相关函数不能判断用户是否是管理员，因此黑客把自己在用户计算机的权限升级之后就可以控制该机器。微软在 Google 公布漏洞 2 天后才修复了漏洞。这已经是 Google 第二次提前微软公布漏洞了。当然，这也不算什么提前，因为 Google 给出的窗口时间是固定的。

对此微软安全响应中心在博客上的一篇文章称，对于 Google 来说正确的事情对于用户来说未必总是如此，并敦促 Google 把保护客户作为其共同目标。不过 Google 坚信自己的策略对于用户安全来说是最好的—既给了供应商合理的修复漏洞时间，又给了用户知情权。但微软批评说，研究竞争对手漏洞并限时修复否则就公布漏洞细节让黑客有可乘之机的做法不妥。

微软还在博客中解释了漏洞修复为什么超过了 90 天的时间，其主要原因是需要考虑各种客户环境下修复的影响，不同的漏洞情况是不一样的，不存在明确的界定指标。其言下之意是 90 天的一刀切做法不妥。

微软和 Google 之间的争端放大了安全界有关报告和修复安全漏洞最佳实践的分歧，即如何在保护用户和敦促软件供应商加快推出补丁之间做出平衡。

[消息来源：geekwire.com, theregister.co.uk]

文章来源：36氪