記者莊友直 /台北報導
對各家作業系統來說,藉由更新來修復影響安全的系統漏洞時有所聞,以最易受攻擊的 Windows 來說,通常微軟會先收到相關單位的通報,經修復後才會公開相關資訊。然而近期 Google 在通知微軟關於 Edge 與 IE 瀏覽器的漏洞後,經過 90 天官方還沒修復,就馬上公諸於世,好像做得有點絕了?
根據外媒 Gizmodo 的消息指出,Google 旗下的安全部分 Project Zero 在去年 11/25 日時,就發現了關於 Windows 10 旗下的 Edge,與 IE 瀏覽器的嚴重漏洞,並立即向微軟公佈。而根據 Google 研究員 Ivan Fratric 表示,通常官方會給 90 天的時間給通報單位修復後,再行公開,但沒想到微軟居然會超過 90 天後還未修復,因此就在近期正式公佈。
▼在 Google 安全部門 Project Zero 中,就揭露了此項漏洞,並闡明要是未在 90 天後修復,還是會自動公開。(圖/翻攝自 Google)
而這項漏洞也已經收錄在美國國家漏洞資料庫(NVD)中,代號為 CVE-2017-0037,主要的隱憂在於駭客可利用其作為破口,在遠端進行攻擊或是執行不同代碼,恐會嚴重影響電腦中的隱私資訊。且這項漏洞在 CVSS 評分中,被評定為高風險,足見其代表的危險性。
▼這項漏洞也已經收錄在美國國家漏洞資料庫(NVD)中,代號為 CVE-2017-0037,且被評為高風險,足見其危險性。(圖/翻攝自 NVD)
雖然目前公佈後尚未有類似的災情產生,但微軟也在近期向 Gizmodo 回應,指出在期間內一直與 Google 聯繫,希望能延長公佈的期限,因為在未修復前公佈,恐怕對用戶會造成極大風險,目前也正在進行修復中。另外,其實這也不是 Google 第一次做這種事,在去年發現一個 Win32k 漏洞後,通報給微軟十天後,就馬上對外公開,同樣也受到微軟的抨擊。
資料來源:Gizmodo
讀者迴響