一名谷歌工程师再度揭露了Windows的漏洞,这位名叫Tavis Ormandy的谷歌信息安全工程师在SecLists站点发出了一篇充分披露文,详细阐述了Windows 7与Windows 8中可被本地用户利用获得用户权限提升的漏洞。安全公司Secunia表示,这一漏洞的风险较小,因为此漏洞无法远程利用。
这件事充分表现出谷歌和微软的恶斗已经不止表现在外部宣传上了,Ormandy在充分揭露后指出他“根本没有时间用在这些愚蠢的微软代码上”。实际 上,Ormandy先前还曾公布过一系列Windows XP帮助和支持中心的漏洞,这些漏洞在修复之前,黑客可使用设计好的网站对XP设备产生危害。
谷歌的工程师们似乎一直都相当富有节奏地公开微软各种软件的漏洞,最近曾公布过微软每月一次Patch Tuesday补丁修复的50%的漏洞。某些安全研究人员先前就指出Ormandy根本就是“不负责任”。在数天前发布的信息中,Ormandy还宣称微 软“其实很难合作”,建议所有的安全工程师在和微软对话时采用匿名的方式,因为“微软对漏洞研究人员有很强的敌意”。
安全企业Sophos的高级技术顾问Graham Cluley发表了不同意见:“基本上,微软的安全团队干得一直很出色。漏洞研究人员应当和微软密切合作来解决发现的问题,而不是把这些问题公布给黑客或 协助黑客。”不管Ormandy这次再度公布漏洞的行为目的是什么,微软都表示目前已经在进行调查:“我们会采取适当的行动保护我们的用户,如果确实存在 漏洞我们会及时修复。”
