在給予微軟90天的修補時間之后，微軟還是沒有修補好一個漏洞，谷歌的一名研究人員最終于上周，在谷歌的安全研究網站上披露了這個Windows 8.1中的漏洞信息，在安全圈引起了一場在漏洞未修補前是否應該披露漏洞信息的爭論。

這個漏洞允許低級別的Windows用戶，在某種情況下成為管理員用戶。谷歌表示，目前還不確定早于8.1版本的Windows是否也受到這個漏洞的影響。

“在***期限到達后，不管是否得到修復就公開漏洞，是極為不負責任的，真沒想到谷歌這樣的大企業(yè)也會這樣做，”一名安全人員在谷歌的網站上寫道。該漏洞是一個普通的本地提權漏洞。“這并不屬于那種必需馬上解決的高危漏洞，但令人悲哀的是，這種漏洞在Windows里一抓一大把。”

另一位研究人員則悲觀的表示：“披露這樣的漏洞，有著嚴重的后果。數十億的用戶使用Windows系統(tǒng)，這樣做會給用戶帶來傷害，并且對解決問題沒有任何幫助。像谷歌這樣影響力巨大的企業(yè)，應該控制自己的行為，避免濫用自己的力量。”

另外一些人則稱贊了谷歌堅持底線的作法。“保持(漏洞的)秘密并沒有什么好處，把它曝出來反而能夠警醒好那些維護系統(tǒng)安全的人，以盡快采取修補措施。補丁也不是解決問題的唯一辦法，在補丁沒有發(fā)布之前，管理員還是可以使用其他辦法保護含有漏洞的系統(tǒng)。”

微軟在一份聲明中表示，將發(fā)布針對此漏洞的安全更新，并表示利用這個漏洞并不容易，必需有一個合法的用戶身份在本地登錄。但微軟還是建議用戶更新他們的防病毒軟件，安裝安全更新并打開計算機上的防火墻。

谷歌稱，其對漏洞披露的90天截止日期是經過“多年認真考慮和行業(yè)討論的結果”，“安全研究人員已經使用大致同樣的披露原則長達13年之久……我們認為我們的披露原則需要和信息安全生態(tài)系統(tǒng)一起進化。換句話說，威脅發(fā)生變化時，披露原則也要相應的變化。”

谷歌將密切監(jiān)視政策實施的效果，“我們想讓我們的決定是數據驅動的，我們不斷的尋求改善用戶安全的方法。我們很高興地說，最初的效果已經顯示出大多數漏洞都在90天的披露日期之前被修復，這是對廠商努力工作的一個證明。”

原文地址：http://www.aqniu.com/threat-alert/6249.html