时间:2017-10-23 来源:互联网 浏览量:
微软称:“Chrome在远程代码执行(RCE)缓解上的相对缺乏,意味着从内存崩溃漏洞到漏洞利用之间的路径,可能会非常短。”
软件巨头微软,在公布谷歌Chrome浏览器RCE漏洞上,动作奇快。当然,今年早些时候,谷歌也曾两度披露微软未修复安全漏洞,让微软很是难堪。
去年,微软发布博客文章,批评谷歌的安全漏洞披露是不负责任的——在微软准备打补丁之前,就曝出了重大Windows漏洞。
上周,微软终于抓到机会,展示它认为的负责任披露是什么样的:在博客帖子中,微软描述了其上个月就发现,且在9月14号就通告谷歌的一个Chrome远程漏洞。
微软攻击性安全研究(OSR)团队在帖子中说:“CVE-2017-5121的发现表明,现代浏览器中,是有可能出现可远程利用的漏洞的。Chrome在RCE缓解上的相对缺乏,意味着从内存崩溃漏洞到漏洞利用之路,可能会很短。”
谷歌在一周之内便在贝塔版Chrome中修复了该问题,但微软指出,尽管现在已修复,该稳定而公开的渠道“依然在风险中暴露了近一个月。”
微软称,这可不是什么小事,因为谷歌在稳定渠道修复之前,就将补丁源代码在GitHub上公开了,也就是说,至少在理论上,攻击者有一个月的时间来利用该漏洞。
微软宣称:“这对开源项目而言情有可原,但在补丁可用之前就让攻击者知晓漏洞,那就有问题了。”
微软称,尽管其自身Edge浏览器也有部分是开源的,“我们认为有必要先将补丁发布给客户,而不是早早将其公开。”
谷歌为该Chrome漏洞,向微软支付了7500美元的漏洞奖金。另有为其他漏洞发放的8337美元,则被微软捐去做了慈善。