一名谷歌工程師再度揭露了windows的漏洞,這位名叫tavis ormandy的谷歌資訊安全工程師在seclists站點發出了一篇充分披露文,詳細闡述了windows 7與windows 8中可被本地使用者利用獲得使用者權限提升的漏洞。安全公司secunia表示,這一漏洞的風險較小,因為此漏洞無法遠端利用。
這件事充分表現出谷歌和微軟的惡鬥已經不止表現在外部宣傳上了,ormandy在充分揭露後指出他“根本沒有時間用在這些愚蠢的微軟代碼上”。實際 上,ormandy先前還曾公布過一系列windows xp幫助和支援中心的漏洞,這些漏洞在修複之前,黑客可使用設計好的網站對xp裝置産生危害。
谷歌的工程師們似乎一直都相當富有節奏地公開微軟各種軟體的漏洞,最近曾公布過微軟每月一次patch tuesday更新檔修複的50%的漏洞。某些安全研究人員先前就指出ormandy根本就是“不負責任”。在數天前釋出的資訊中,ormandy還宣稱微 軟“其實很難合作”,建議所有的安全工程師在和微軟對話時采用匿名的方式,因為“微軟對漏洞研究人員有很強的敵意”。
安全企業sophos的進階技術顧問graham cluley發表了不同意見:“基本上,微軟的安全團隊幹得一直很出色。漏洞研究人員應當和微軟密切合作來解決發現的問題,而不是把這些問題公布給黑客或 協助黑客。”不管ormandy這次再度公布漏洞的行為目的是什麼,微軟都表示目前已經在進行調查:“我們會采取适當的行動保護我們的使用者,如果确實存在 漏洞我們會及時修複。”