這場兩個安全公司之間的口水戰(zhàn)顯示出漏洞提交是一件非常敏感的事，尤其是流行軟件產(chǎn)品的漏洞。

[[149075]]

在火眼惡意軟件保護(hù)(MPS)產(chǎn)品中發(fā)現(xiàn)了5個漏洞的公司是德國一家安全咨詢公司ERNW的一名研究人員。這些漏洞中的其中之一，可以被攻擊者利用獲得主機(jī)訪問權(quán)，ERNW在今年4月初就將漏洞細(xì)節(jié)提交給了火眼。前者本來計劃在90天漏洞披露期之后，才會公開漏洞細(xì)節(jié)。但之后，兩個公司之間的關(guān)系開始變得緊張起來。

火眼在評估了ERNW提交的漏洞之后，認(rèn)為包含了太多其MPS產(chǎn)品的內(nèi)部工作細(xì)節(jié)。雖然ERNW認(rèn)為這些細(xì)節(jié)需要告訴人們，才能理解漏洞的風(fēng)險所在，但火眼還是將這些內(nèi)容從公告中移除。

ERNW公司的創(chuàng)始人伊諾·瑞在8月5日與火眼公司見面會談，并就漏洞披露文檔的草案達(dá)成一致意見。但僅一天后，火眼就給ERNW發(fā)了一封終止函。聲稱由于涉及到該公司知識產(chǎn)權(quán)的披露，之前達(dá)成的協(xié)議草案無效。

然后不等ERNW的書面回應(yīng)，火眼在8月13日從德國漢堡的地方法庭申請了一張禁止令。于是，漏洞發(fā)現(xiàn)人員在會議上做演講時，只能屏蔽掉與火眼產(chǎn)品有關(guān)的內(nèi)容，以免違背法庭的禁止令。

瑞表示火眼將此事鬧上法庭是他始料不及的，因為在8月5日明明與對方達(dá)成了漏洞披露的一致意見。而火眼則聲稱，并不想阻止ERNW公開討論漏洞內(nèi)容，只是不想讓自己的知識產(chǎn)機(jī)信息被公開，因為會對其公司業(yè)務(wù)和客戶帶來風(fēng)險。

德國的法律不允許他們發(fā)布不屬于他們的知識產(chǎn)權(quán)信息?；鹧墼?月8日發(fā)布了一個漏洞公告，但公告中并沒有按照慣例列出修補(bǔ)此漏洞的時間點。

原文地址：http://www.aqniu.com/news/10170.html