微软透露，尽管谷歌要求推迟，谷歌仍公布了 Windows 漏洞的详细信息

一位 Google 研究人员在 Windows 8.1 中发现了一个未修补的安全漏洞，他在 Google 安全研究页面上发布了该漏洞，并且该漏洞需要 90 天的披露期限。 如果 90 天后没有广泛可用的补丁，那么错误报告将自动对公众可见。 借助此政策，Google 在网络上发布了漏洞信息。 谷歌在每天有数百万人使用的 Windows 等产品上发布漏洞是不负责任的举动。

今天，微软确认他们要求谷歌将此过程推迟 2 天，直到他们发布修复程序。 但是，谷歌很高兴地拒绝了这个请求，而不必担心数百万用户。

CVD 理念和行动今天正在上演，因为一家公司 - 谷歌 - 在我们计划修复我们众所周知的协调补丁星期二节奏前两天发布了有关 Microsoft 产品漏洞的信息，尽管我们要求他们避免这样做。 具体来说，我们要求 Google 与我们合作，通过在 13 月 XNUMX 日星期二之前保留详细信息来保护客户，届时我们将发布修复程序。 尽管遵循谷歌宣布的披露时间表，但该决定感觉不像是原则，而更像是一个“陷阱”，客户可能因此受到影响。 适合 Google 的东西并不总是适合客户。 我们敦促 Google 将保护客户作为我们共同的首要目标。

微软长期以来一直认为协调披露是正确的方法，可以最大限度地降低客户的风险。 我们认为，那些在广泛可用的修复程序之前完全披露漏洞的人正在对数百万人及其所依赖的系统造成损害。 其他公司和个人认为全面披露是必要的，因为它迫使客户为自己辩护，即使绝大多数人不采取任何行动，很大程度上依赖于软件提供商来发布安全更新。 即使对于那些能够采取准备措施的人来说，通过公开宣布网络犯罪分子可以用来策划攻击的信息并假设那些将采取行动的人都知道这个问题，风险也会显着增加。 在通过协调披露做法私下披露并由所有软件供应商每年修复的漏洞中，我们发现在向客户提供“修复”之前几乎没有一个漏洞被利用，即使在“修复”公开后也只有一个很少量被利用。 相反，在受影响产品的修复程序可用之前公开披露的漏洞记录要糟糕得多，网络犯罪分子更频繁地策划攻击那些没有或无法保护自己的人。

CVD 辩论的另一个方面与时间有关——特别是在研究人员广泛传达漏洞存在之前可接受的时间量。 修复 Web 服务中的错误与修复已有十年历史的 Windows 中的错误完全不同。

阅读关于它的更多信息 来自微软的博客文章。