微軟發(fā)布57個(gè)安全補(bǔ)丁 谷歌工程師貢獻(xiàn)過(guò)半

微軟日前迎來(lái)了有史以來(lái)最為“隆重”的一次“Patch Tuesday”（ Patch Tuesday，即是在每個(gè)月的第二周星期二發(fā)布系統(tǒng)補(bǔ)丁，補(bǔ)丁內(nèi)容包括了對(duì)BUG的修復(fù)，系統(tǒng)升級(jí)和驅(qū)動(dòng)程序升級(jí)）安全更新，針對(duì)包括IE瀏覽器、Windows系統(tǒng)、Office軟件及其關(guān)鍵的郵件軟件Exchange Server在內(nèi)發(fā)布了57個(gè)安全更新補(bǔ)丁。需要指出的是，在這57個(gè)安全更新中，竟然有超過(guò)半數(shù)的補(bǔ)丁來(lái)自于谷歌工程師的發(fā)現(xiàn)。

事實(shí)上，谷歌工程師向來(lái)以善于發(fā)現(xiàn)微軟系統(tǒng)漏洞聞名，但他們?cè)诒驹碌谋憩F(xiàn)可謂是“史無(wú)前例”。一名自稱為Windows黑客的谷歌安全工程師瑪特魯茲-杰庫(kù)茲克（Mateusz Jurczyk）到目前為止已經(jīng)幫助微軟找出了32個(gè)系統(tǒng)高危以及危險(xiǎn)級(jí)別的漏洞。另一名名為瓦伊爾-科德溫德(Gynvael Coldwind)的谷歌安全工程師則總計(jì)提交了5個(gè)安全漏洞。

盡管幫助微軟找出系統(tǒng)漏洞一直是谷歌的慣有作風(fēng)，但本月谷歌的表現(xiàn)仍然大大出乎我們的意料。在去年十月、十一月、十二月谷歌每月都只找出了一個(gè)漏洞，今年一月更是顆粒無(wú)收。但本月，微軟已經(jīng)總計(jì)發(fā)布了64個(gè)安全更新，達(dá)到了歷史之最。

自2000年以來(lái)，微軟一直都十分歡迎外界人士幫助自己找出系統(tǒng)漏洞。微軟表示“當(dāng)你在微軟安全公告（Microsoft Security Bulletin）中看到某個(gè)安全專家得到肯定的時(shí)候，這意味著他們匿名向微軟報(bào)告了某一安全漏洞，同我們一道開(kāi)發(fā)了相應(yīng)的安全補(bǔ)丁，并在風(fēng)險(xiǎn)警報(bào)解除后幫助我們一同對(duì)外公布了這一信息?！?/p>

的確，在過(guò)去很長(zhǎng)一段時(shí)間內(nèi)，谷歌工程師已經(jīng)幫助微軟發(fā)現(xiàn)了不少安全漏洞，但他們也并不總是甘愿成為“無(wú)名英雄”。2012年6月，一名谷歌安全工程師找到了Windows系統(tǒng)存在的一個(gè)安全漏洞，但卻只給了微軟5天時(shí)間便公布了這一漏洞。隨后，憤怒的微軟對(duì)外宣布了針對(duì)非微軟產(chǎn)品的“漏洞信息披露政策”，并開(kāi)始針對(duì)谷歌產(chǎn)品的漏洞進(jìn)行發(fā)布。2012年7月，一名微軟工程師宣稱自己找到了存在于谷歌Android系統(tǒng)之中通過(guò)郵件傳播的僵尸漏洞，但谷歌并未承認(rèn)這一漏洞的存在。

瑪特魯茲-杰庫(kù)茲克并沒(méi)有對(duì)外透露自己“為什么特別喜歡尋找Windows系統(tǒng)中存在的安全漏洞，而沒(méi)有針對(duì)谷歌產(chǎn)品（比如谷歌Chrome中內(nèi)置的PDF瀏覽器）展開(kāi)類似工作”的原因。

一般來(lái)說(shuō)，如果自己所發(fā)現(xiàn)的漏洞影響巨大，這些谷歌工程師通常都傾向于在博客中對(duì)外公布自己的成果，以借此展示自己的技術(shù)力量。但對(duì)于那些小型漏洞，他們則更愿意為消費(fèi)者考慮，并主動(dòng)向微軟提交漏洞報(bào)告。

瓦伊爾-科德溫德在自己的Google+主頁(yè)中表示：“如果你有興趣了解更多由我和杰庫(kù)茲克所發(fā)現(xiàn)的32個(gè)微軟Windows安全漏洞的信息，你可能需要參加今年的SyScan大會(huì)（SyScan是國(guó)際頂級(jí)的安全技術(shù)大會(huì)）。”