微軟透露，儘管谷歌要求推遲，谷歌仍公佈了 Windows 漏洞的詳細信息

一位 Google 研究人員在 Windows 8.1 中發現了一個未修補的安全漏洞，他在 Google 安全研究頁面上發布了該漏洞，並且該漏洞需要 90 天的披露期限。 如果 90 天后沒有廣泛可用的補丁，那麼錯誤報告將自動對公眾可見。 借助此政策，Google 在網絡上發布了漏洞信息。 谷歌在每天被數百萬人使用的 Windows 等產品上發布漏洞是不負責任的舉動。

今天，微軟確認他們要求谷歌將此過程推遲 2 天，直到他們發布修復程序。 但是，谷歌很高興地拒絕了這個請求，而不必擔心數百萬用戶。

CVD 理念和行動今天正在上演，因為一家公司 - 谷歌 - 在我們計劃修復我們眾所周知的協調補丁星期二節奏前兩天發布了有關 Microsoft 產品漏洞的信息，儘管我們要求他們避免這樣做。 具體來說，我們要求 Google 與我們合作，通過在 13 月 XNUMX 日星期二之前保留詳細信息來保護客戶，屆時我們將發布修復程序。 儘管遵循谷歌宣布的披露時間表，但該決定感覺不像是原則，而更像是一個“陷阱”，客戶可能因此受到影響。 適合 Google 的東西並不總是適合客戶。 我們敦促 Google 將保護客戶作為我們共同的首要目標。

微軟長期以來一直認為協調披露是正確的方法，可以最大限度地降低對客戶的風險。 我們認為，那些在廣泛可用的修復程序之前完全披露漏洞的人正在對數百萬人及其所依賴的系統造成損害。 其他公司和個人認為全面披露是必要的，因為它迫使客戶為自己辯護，即使絕大多數人不採取任何行動，很大程度上依賴於軟件提供商來發布安全更新。 即使對於那些能夠採取準備措施的人來說，通過公開宣佈網絡犯罪分子可以用來策劃攻擊的信息並假設那些將採取行動的人都知道這個問題，風險也會顯著增加。 在通過協調披露做法私下披露並由所有軟件供應商每年修復的漏洞中，我們發現在向客戶提供“修復”之前幾乎沒有一個漏洞被利用，即使在“修復”公開後也只有一個很少量被利用。 相反，在受影響產品的修復程序可用之前公開披露的漏洞記錄要糟糕得多，網絡犯罪分子更頻繁地策劃攻擊那些沒有或無法保護自己的人。

CVD 辯論的另一個方面與時間有關——特別是在研究人員廣泛傳達漏洞存在之前可接受的時間量。 修復 Web 服務中的錯誤與修復已有十年曆史的 Windows 中的錯誤完全不同。

閱讀關於它的更多信息 來自微軟的博客文章。