北京時間2月15日上午消息,本周二�����,微軟在“Patch Tuesday”每月安全更新中發(fā)布了有史以來最多的補丁,包括57個與Windows����、IE和Office等產品有關的更新�����,而其中一半來自谷歌工程師的發(fā)現���。
谷歌工程師以往也曾發(fā)現并報告微軟產品的漏洞����,不過本月谷歌工程師發(fā)現的漏洞數量超過了以往�����。自稱“Windows黑客”的谷歌信息安全工程師馬特休斯·朱茲克(Mateusz Jurczyk)發(fā)現了32個被微軟認定為“重要”的Windows漏洞����。而谷歌另一名信息安全工程師基恩維爾·柯德文得(Gynvael Coldwind)則協(xié)助發(fā)現了5個漏洞��。
此前,谷歌工程師于10月����、11月和12月分別報告了1個漏洞����,而1月份則沒有報告任何漏洞�。微軟本月共修復了64個漏洞����,已接近歷史記錄��。
微軟一直歡迎來自外部人士的漏洞報告����。微軟表示:“當你在微軟安全公告牌上看到對某一信息安全專家的認可時����,這意味著他們私下向我們報告了漏洞�����,與我們合作開發(fā)了補丁���,以及在威脅消除之后協(xié)助我們公布了信息�。”
谷歌工程師曾發(fā)現過微軟產品的多個漏洞,但有時會直接公布�,而不是私下向微軟報告����。2010年6月,谷歌工程師報告了Windows的一個嚴重漏洞��,但同時宣布在發(fā)布完整攻擊代碼之前只給微軟5天時間來修復。微軟對此感到惱怒����,隨后宣布了對“非微軟產品”的漏洞報告政策�����,開始報告谷歌產品的漏洞����。2012年7月�����,微軟一名工程師宣稱���,發(fā)現了通過Android設備的大規(guī)模僵尸網絡惡意軟件,而谷歌對此表示否認�。
對于谷歌工程師為何花費大量時間來研究Windows的漏洞���,朱茲克尚未做出回應�。不過��,這些漏洞有可能是在其他研究中發(fā)現的,例如對Chrome瀏覽器內嵌的PDF閱讀器的研究。
如果漏洞較嚴重��,那么朱茲克等工程師傾向于在自己的博客中披露技術成果�。不過對于較小的安全問題���,谷歌工程師會以符合用戶利益的方式向微軟報告漏洞�。朱茲克等人也試圖利用這些成果進行自我宣傳�����?碌挛牡迷贕oogle+上表示:“如果你對朱茲克和我發(fā)現的Windows漏洞感興趣��,你可能會想參加今年的SyScan大會���。”SyScan信息安全大會將于今年4月召開�。
谷歌一名發(fā)言人表示:“確����;ヂ(lián)網用戶的安全遠遠不只是使我們自己的產品安全�。在不同平臺上測試產品和服務時���,我們常常報告發(fā)現的漏洞�。以負責任的方式向軟件提供商報告漏洞是健康的信息安全社區(qū)的一部分�����。”
