因為一個漏洞：微軟又要與谷歌“掐架”了 _又要

最近老冤家微軟和谷歌似乎開始“打架”，而“打架”的主要原因其實是Windows8.1的一個漏洞。

2014年7月，谷歌正式宣布了一個名為“零項目”的項目，谷歌為此項目召集了一批安全研究人員，希望跟蹤修復漏洞，維護所有互聯網用戶的安全。“零項目”計劃公布后，其主要目標也鎖定在“零日”，也就是我們常說的“零日漏洞” 。但是，一般來說，這些漏洞是不會被公開的，很多用戶無法及時從軟件服務提供商那里獲得有針對性的補丁更新。

事情是這樣的。谷歌“零項目”在去年10月底發現了Windows8.1中的一個bug，并告知微軟該bug，要求微軟在90天內修復該bug，否則會將該bug公之于眾。谷歌官員表示：

“零項目”認為，設定修復漏洞的期限是保障網民安全的有效手段。它將允許軟件服務提供商公平合理地使用他們的時間來操作漏洞處理過程，同時，它將維護用戶對漏洞和安全問題的知情權。

此前，微軟曾要求谷歌“零項目”(ProjectZero)在1月13日之前不要披露該漏洞，而這一天正好是微軟推動Windows操作系統更新的Patch周二。然而，與預期相反，谷歌的“零項目”上周宣布了該漏洞，這激怒了微軟。提前公布漏洞不僅會威脅到Windows8.1用戶的安全，微軟也無法及時對漏洞采取應有的防范措施，因為Windows操作系統的更新還沒有開始推送。

微軟安全響應中心高級總監克里斯貝茨說：

谷歌“零項目”提前公布了漏洞，只會以安全問題威脅很多用戶。此外，谷歌“ProjectZero”這樣的做法頂多只是基于原則，而并非基于用戶安全考慮。,修復漏洞本來就復雜且耗時，并非每個漏洞都能在90天內修復。我們希望谷歌“零項目”能夠以用戶安全為首要目標。

有趣的是，這并不是微軟和谷歌第一次“較勁” 。想必很多用戶還是有印象的，微軟發了一系列名為“Scroogled”的廣告，大部分都是諷刺谷歌的產品。2013年，微軟也因為WindowsPhone上的第三方Youtube客戶端與谷歌發生了爭吵。

【因為一個漏洞：微軟又要與谷歌“掐架”了】 事實上，谷歌“零項目”和微軟都沒有在漏洞上做好應有的工作。作為科技領域數一數二的巨頭，他們也要為用戶的安全負責。谷歌的“零項目”基于原則提前公布漏洞，將部分用戶暴露在安全隱患中，這確實不對，但微軟也有一些不足。“修復漏洞本來就復雜耗時，不是每一個漏洞都能在90天內修復”，據說很少用戶滿意。對于普通用戶來說，他們更關心的是結果而不是過程，他們更關心的是是否安全。或許微軟需要提高bug修復的效率。