Google威脅分析團隊今(1)日在部落格揭露一項微軟Microsoft的嚴重安全漏洞,不過,微軟顯然還沒準備好。在Google將漏洞回報給微軟的10天後,該漏洞仍存在,而另一方面,Google則稱其已在Chrome提供修補方式。
圖/ ShutterStock
微軟強烈譴責Google:「把消費者推向威脅。」
根據Google在部落格的文章,該漏洞可以用來繞過Windows32K系統中的安全沙盒,且正被駭客大量運用,並稱其於10月21日就將此漏洞回報給微軟,但至今微軟並未提出任何建議或更新修補元件。
「根據我們對嚴重漏洞的揭露政策,我們在回報的7天後公布這項依然存在的嚴重漏洞,且微軟目前仍未公布任何建議或修補。」Google在部落格上說。
對此,微軟發言人對外媒《VetureBeat》強烈譴責Google:「我們肯定協助揭露漏洞,但Google今日的揭露可能將消費者推向潛在威脅。」並指出,「我們建議消費者使用Windows 10和微軟瀏覽器Edge以獲得最佳保護。」
Google:嚴重且正被利用的安全漏洞,須於回報7日後揭露
Google於2013年公布漏洞揭露方針,若屬嚴重漏洞,須於將漏洞回報給服務商的7天後揭露。這項政策在當時招來許多批評,不少研究員認為過於嚴苛,表示7天根本來不及修補完一個複雜的漏洞。不過Google工程師則表示,短時間揭露是必要的,因為漏洞可能正遭不肖人士利用。
由於該漏洞需搭配另一個Adobe Flash的漏洞才能遭破解,因此在10月21日收到Google的回報後,Abobe已於上周針對Flash發布更新。Google也表示,其已替Chrome用戶提供漏洞修補。
「我們鼓勵用戶開啟Flash的自動升級功能或是手動升級,並於Microsoft更新Windows修補元件時升級。」Google在部落格建議。
資料來源:Google、VentureBeat、The Verge
