摘要:谷歌安全工程师Tavis Ormandy对外公布了一个Windows安全漏洞,微软已确认这个漏洞,对此微软同时称公开讨论漏洞的行为是不太负责任的,而Tavis Ormandy直言不讳的批评微软对待漏洞研究人员怀有敌意且难以合作。

北京时间5月24日消息,谷歌安全工程师Tavis Ormandy指责微软对待外部研究人员怀有很大敌意不容易合作,大家看到这一句话可能莫名其妙,这是怎么回事,这还得从头看。

几天前谷歌工程师公布了一个Windows漏洞,该漏洞可以让个人电脑崩溃或获得额外的访问权限。微软周三晚间时候确认了这个漏洞,微软发言人Dustin Childs在一封邮件里称,他们已经知道这一潜在问题可能会影响微软Windows系统的安全性,目前正在对这一反馈进行调查,他同时也表示,虽然还没有发现任何针对该漏洞的攻击,但微软会采取适当行动来保护他们的客户。

除此之外Dustin Childs拒绝回答更多的问题,包括在5月17日漏洞被人全面披露之前微软是否已经意识到了这个漏洞的存在以及微软打算什么时候发布漏洞补丁。

同时,微软和其他一些安全研究人员批评Tavis Ormandy在还没有发布补丁前就完全公开讨论漏洞的行为,因为这会将众多计算机用户置于危险之中,而负责任的做法则是私下向微软专家报告这一漏洞。

披露Windows漏洞的过程:Tavis Ormandy称微软难合作

谷歌安全工程师Tavis Ormandy披露了这个Bug,而且他讨论了Windows内核驱动“Win32k.sys”的缺陷,并且对外寻求帮助以克服当中的障碍。Tavis Ormandy称,他没有太多的空闲时间去解决微软这些代码的问题,所以他在寻找如何解决最后拦路虎的方法。因此,Tavis Ormandy于三月份首次在Github上公布了相关漏洞的信息,以获得帮助或吸引其他研究人员的调查。然而目前这一相关信息已从Github上消失。

上周一Tavis Ormandy再次完全公开这个漏洞,包括说明更多细节和提供演示代码。Tavis Ormandy声称,他手里有一个漏洞会影响到微软当前支持的所有Windows版本,他称,这个代码可以提供给一些信誉良好学校的学生研究。

周二,丹麦漏洞研究安全公司Secunia发表了一份框架咨询报告,声称它已证实了这个Bug,在打满全部补丁的Windows 7 Professional和Windows 8的系统中都会受到该漏洞的影响。Secunia称,该漏洞可能被用来产生拒绝服务(Dos)攻击或者给攻击者提升较高的权限。随后微软将这个称为Elevation of Privilege (EoP)特权提升漏洞。

TripWire的安全营运总监Andrew Storms称,尽管这个漏洞不能被用作远程攻击,但它仍然应该被认为是比较严重的代码,因为它可以被偷偷用到一些被攻破的网站中去。他在一封邮件中指出,或许有些人认为需要许多不同的漏洞才能成功利用Windows或Windows应用程序的话,那么本地EOP特权提升漏洞则是攻破Windows系统中的关键一步。

Tavis Ormandy在5月15日的博客上直言不讳的批评微软:如果有人能解决这个谜底并确定这是一个安全问题,请发送一封电子邮件过来,他会更新这个帖子,同时你如果确定这个漏洞可以被利用,你还可以把这个问题报告给微软,不过需要注意的是,微软对待漏洞研究人员常常怀有敌意,并且尝尝难以合作,因此他建议使用假名或匿名的邮件以保护自己。

据悉,Tavis Ormandy此前公布了很多Windows漏洞,尤其是在2010年披露的一个漏洞,在他向微软报告这一漏洞五天之后,便对外公布了Windows XP中的某个漏洞,Tavis Ormandy称,这样的举动主要是因为这个漏洞的严重性,同时他也因为相信微软应该会在其他方面驳回他的分析。此外也是在2010年,Tavis Ormandy还发文指出Windows的虚拟ODS(VDM)中存在一个漏洞,这可以使黑客完全控制系统,而这一漏洞存在了17年之久。

特别值得一提的是微软的漏洞不少都是谷歌发现的,尤其是今年2月份发布的57个安全更新,其中一半都是来自谷歌工程师的发现。另外Tavis Ormandy还向其他软件厂商曝光过漏洞,在2011年年中,他指责Adobe公司试图掩埋事实——在Flash Player中出现的超过400个Bug。

TripWire的安全营运总监Andrew Storms此外还表示,即使可能会被一些精明的黑客利用,但微软可能并不会急于修补漏洞。在这一点上,我们不难想象:微软开始他们惯用的事件响应——开始确认错误,可能然后再发布一个公告。

据悉,微软下一个补丁定期发布事件是6月11日,距今天不到三个星期。

最后:在笔者看来,虽然不能否认谷歌工程师为Windows安全性所带来的积极作用,但不待安全补丁推出就直接公布相关漏洞或细节的行为确实不太负责任,纵然有些问题让个人不太确定这是否就是安全漏洞,但所产生的疑问最好且都应该和微软安全专家进行沟通后再有所动作……

另外,或许微软确实对外部的漏洞研究人员态度不好、甚至不合作,但在尚未发布补丁之前就公开漏洞就等于将众多计算机用户置于危险之中,这样的举动合适吗?

www.itbole.net

posted on 2013-05-25 08:15  ProgramMonkey  阅读(286)  评论(1编辑  收藏  举报