微软愤怒了 因为Google提前公开Windows 8.1系统中存在的漏洞细节

去年12月31日，Google Project Zero研究人员发现并披露了Windows中存在的特权升级错误。

研究者甚至公开了此项Windows 8.1漏洞的PoC(Proof of Concept)程序，在其中，他详细说明了如何利用这一Windows 8.1 Bug。

今天，微软呼吁科技界“更好进行协调漏洞披露”。

问题很简单，一些人包括Google，认为全面公开披露漏洞可让软件供应商快速修复漏洞，以及受影响的客户也可采取快速行动来保护自己，但这种公开漏洞的方式并不总是对的。

微软不同意这种方式，微软认为在漏洞信息向公众公开前，应对潜在的软件漏洞进行全面评估，以及对更广泛的威胁环境进行评估，然后发布漏洞修复更新，这样可防止不法分子利用漏洞攻击用户。

Microsoft的Chris Betz在官方博客表示：

那些赞成全面、公开披露软件漏洞的人相信这种方法可促使软件供应商更快地修复漏洞，客户也能快速采取行动来保护自己。

我们不同意这种做法，这种发布信息的行为没有考虑具体情况，也没按照规定的途径对漏洞进行进一步的保护，过度的压力也会导致技术环境的复杂化。

向公众披露之前有必要充分评估潜在漏洞影响，评估对更广泛的威胁环境，然后推出“修复”，以避免有人利用漏洞。

Betz在博客帖子里指出，微软计划在周二补丁日推出此项漏洞修复，但Google未按微软要求提前公开了漏洞。

Betz称：“我们要求Google与我们共同努力，暂且不公开漏洞细节，等到周二也就是1月13日，我们将发布修复。但Google未听从我们的要求，Google的这一决定感觉不像是原则而更像是“陷阱”，置客户的安危于不顾。对Google正确的事情并不总是适合客户。我们敦促谷歌，保护客户是我们共同的主要目标。”

What’s right for Google is not always right for customers.

Betz进一步补充说，微软认为安全人员发现竞争对手的产品漏洞，如果在其规定的时间内没有发布补丁，他们将公开漏洞的做法是不正确的。

任何软件开发人员都知道，为安全漏洞开发补丁可能是一个复杂、广泛而又耗时的过程，微软敦促Google以及其他公司联手，最终也是为客户考虑。

“让我们来面对它，没有软件是完美的，毕竟它是由人类制造的。微软有责任保护我们客户的最大利益，以迅速、全面的方式解决问题，使我们庞大的生态系统继续为客户提供安全的技术，积极地影响人们的生活。”