北京時間2月15日消息,據國外媒體報道,微軟日前迎來瞭有史以來最為“隆重”的一次“Patch Tuesday”( Patch
Tuesday,即是在每個月的第二周星期二發佈系統補丁,補丁內容包括瞭對BUG的修復,系統升級和驅動程序升級)安全更新,針對包括IE瀏覽器、Windows系統、Office軟件及其關鍵的郵件軟件Exchange
Server在內發佈瞭57個安全更新補丁。需要指出的是,在這57個安全更新中,竟然有超過半數的補丁來自於谷歌工程師的發現。
事實上,谷歌工程師向來以善於發現微軟系統漏洞聞名,但他們在本月的表現可謂是“史無前例”。一名自稱為Windows黑客的谷歌安全工程師瑪特魯茲-傑庫茲克(Mateusz
Jurczyk)到目前為止已經幫助微軟找出瞭32個系統高危以及危險級別的漏洞。另一名名為瓦伊爾-科德溫德(Gynvael Coldwind)的谷歌安全工程師則總計提交瞭5個安全漏洞。
盡管幫助微軟找出系統漏洞一直是谷歌的慣有作風,但本月谷歌的表現仍然大大出乎我們的意料。在去年十月、十一月、十二月谷歌每月都隻找出瞭一個漏洞,今年一月更是顆粒無收。但本月,微軟已經總計發佈瞭64個安全更新,達到瞭歷史之最。
自2000年以來,微軟一直都十分歡迎外界人士幫助自己找出系統漏洞。微軟表示“當你在微軟安全公告(Microsoft Security
Bulletin)中看到某個安全專傢得到肯定的時候,這意味著他們匿名向微軟報告瞭某一安全漏洞,同我們一道開發瞭相應的安全補丁,並在風險警報解除後幫助我們一同對外公佈瞭這一信息。”
的確,在過去很長一段時間內,谷歌工程師已經幫助微軟發現瞭不少安全漏洞,但他們也並不總是甘願成為“無名英雄”。2012年6月,一名谷歌安全工程師找到瞭Windows系統存在的一個安全漏洞,但卻隻給瞭微軟5天時間便公佈瞭這一漏洞。隨後,憤怒的微軟對外宣佈瞭針對非微軟產品的“漏洞信息披露政策”,並開始針對谷歌產品的漏洞進行發佈。2012年7月,一名微軟工程師宣稱自己找到瞭存在於谷歌Android系統之中通過郵件傳播的僵屍漏洞,但谷歌並未承認這一漏洞的存在。
瑪特魯茲-傑庫茲克並沒有對外透露自己“為什麼特別喜歡尋找Windows系統中存在的安全漏洞,而沒有針對谷歌產品(比如谷歌Chrome中內置的PDF瀏覽器)展開類似工作”的原因。
一般來說,如果自己所發現的漏洞影響巨大,這些谷歌工程師通常都傾向於在博客中對外公佈自己的成果,以借此展示自己的技術力量。但對於那些小型漏洞,他們則更願意為消費者考慮,並主動向微軟提交漏洞報告。
瓦伊爾-科德溫德在自己的Google+主頁中表示:“如果你有興趣瞭解更多由我和傑庫茲克所發現的32個微軟Windows安全漏洞的信息,你可能需要參加今年的SyScan大會(SyScan是國際頂級的安全技術大會)。”
Orignal From: 微軟發佈57個安全補丁 谷歌貢獻過半
留言列表
