微软终于抓住谷歌把柄 “负责任披露”Chorme远程代码执行漏洞
作者:星期一, 十月 23, 20170

微软称:“Chrome在远程代码执行(RCE)缓解上的相对缺乏,意味着从内存崩溃漏洞到漏洞利用之间的路径,可能会非常短。”

软件巨头微软,在公布谷歌Chrome浏览器RCE漏洞上,动作奇快。当然,今年早些时候,谷歌也曾两度披露微软未修复安全漏洞,让微软很是难堪。

去年,微软发布博客文章,批评谷歌的安全漏洞披露是不负责任的——在微软准备打补丁之前,就曝出了重大Windows漏洞。

上周,微软终于抓到机会,展示它认为的负责任披露是什么样的:在博客帖子中,微软描述了其上个月就发现,且在9月14号就通告谷歌的一个Chrome远程漏洞。

微软攻击性安全研究(OSR)团队在帖子中说:“CVE-2017-5121的发现表明,现代浏览器中,是有可能出现可远程利用的漏洞的。Chrome在RCE缓解上的相对缺乏,意味着从内存崩溃漏洞到漏洞利用之路,可能会很短。”

谷歌在一周之内便在贝塔版Chrome中修复了该问题,但微软指出,尽管现在已修复,该稳定而公开的渠道“依然在风险中暴露了近一个月。”

微软称,这可不是什么小事,因为谷歌在稳定渠道修复之前,就将补丁源代码在GitHub上公开了,也就是说,至少在理论上,攻击者有一个月的时间来利用该漏洞。

微软宣称:“这对开源项目而言情有可原,但在补丁可用之前就让攻击者知晓漏洞,那就有问题了。”

微软称,尽管其自身Edge浏览器也有部分是开源的,“我们认为有必要先将补丁发布给客户,而不是早早将其公开。”

谷歌为该Chrome漏洞,向微软支付了7500美元的漏洞奖金。另有为其他漏洞发放的8337美元,则被微软捐去做了慈善。

相关阅读

谷歌公开未打补丁的Windows漏洞 微软表示无奈
谷歌发现“最可怕”的Windows远程代码执行漏洞
谷歌丝毫不给微软面子 公开Windows未打补丁漏洞

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章