微软本月修复57个漏洞

eval001

【搜狐IT消息】据国外媒体报道，本周微软迎来“超级补丁星期二”，在每月一次的安全升级中修复了Windows、IE浏览器和Office等产品的57个漏洞。这一切应该感谢谷歌，因为其中超过一半以上的漏洞都是它发现的。
　　谷歌工程师通常都会发现并报告微软产品中的漏洞，但这个月他们破了自己的纪录。谷歌一位自称为“微软黑客”的安全工程师Mateusz "j00ru" Jurczyk向微软报告了32个“重要”漏洞，这只比“危险”只差一个级别。另一位谷歌安全工程师Gynvael Coldwind则报告了其中的5个漏洞。
　　每次安全升级贡献中都有谷歌工程师的身影，但这个月出乎意料的高。谷歌工程师在去年10月、11月和12月各报告了一个漏洞，今年1月没有。本月微软修补的漏洞接近最高纪录64个。
　　微软欢迎外部人士报告漏洞，自2000年开始，它都会在每次安全升级中附上“感谢”名单。微软表示：“如果一位安全专家出现在微软安全公告牌致谢名单中，这意味着他向我们报告了安全漏洞，并协助我们开发出了补丁，并帮助我们在威胁出现前就发布了相关消息。”
　　谷歌工程师此前揭露过许多微软漏洞，但他们并不总是悄悄报告。2010年6月，一位谷歌工程师公布了一个很严重的Windows漏洞，但他在发布完整攻击代码之前，只给了微软五天时候封堵漏洞。微软对此恼羞成怒，进而实施了“非微软产品”漏洞报告政策，并开始发布谷歌产品的漏洞报告。2012年7月，一位微软工程师声称发现了Android设备上的大型僵尸网络和恶意软件，但谷歌对此予以否认。
　　对于为什么花如此多时候研究Windows，Jurczyk没有回应置评，但这些漏洞可能是在研究其他产品时被发现的，例如在谷歌Chrome中内嵌PDF查看器。对于严重漏洞，工程师一般会公开发布在博客帖子中，以显示自己技术高超。但如果是小漏洞，为了保护消费者的利益，谷歌工程师一般会向微软报告。
　　对于谷歌工程师的做法，谷歌一位代表发表声明称：“保护互联网用户安全并不仅仅是确保谷歌产品安全。我们在多个平台测试产品和服务时，经常都会报告我们发现的漏洞。向软件开发商报告漏洞是保持健康安全社区的负责任方式。”（柯山）