微軟與谷歌工程師的軟件漏洞紛爭

周二，微軟為旗下安全軟件產品發布了一個緊急修復補丁。 我們會注意到它，因為微軟很少發布緊急補丁，他們一般在每個月的第二個星期二集中發布旗下軟件產品的所有補丁。微軟很有必要發布這個緊急補丁，因為發現這 一安全漏洞的發現者是谷歌安全軟件工程師泰威·奧曼迪（Tavis Ormandy）。奧曼迪會很快對外公開這個漏洞，完全不理睬微軟是否已經修復它，甚至對外聲稱微軟難以合作。

正因為多次發現微軟軟件產品漏洞，還常常在微軟修復之前，公開演示黑客會如何利用這一漏洞發起安全威脅，所以奧曼迪在業內非常有名。就在一年前，奧曼迪發現了一個可以讓黑客獲得對Windows的控制權或讓它崩潰的Bug，他不但在微軟修復前公布了這個Bug，還發布了exploit代碼展示他們如何利用這個Bug，這只是微軟與奧曼迪安全漏洞沖突的一部分。

2010年，奧曼迪只給了微軟5天時間修復他所發現的一個漏洞。這一舉動引發了業內極大非議，因為安全軟件產業內的一般公開時間是30天到60天。 太遲公布自己發現的安全漏洞，會導致軟件公司動作遲緩，最終讓黑客捷足先登。太早公布漏洞，無異于幫助黑客威脅計算機產業安全，尤其是在微軟軟件產品被到 處使用，同時被全世界的黑客死死盯住的情況下，這種做法在中國叫：助紂為虐。

去年，谷歌公開支持奧曼迪的做法，并改變了他們的漏洞披露政策。他們宣稱，如果谷歌工程師在其他公司的軟件中發現漏洞，他們會在7天之后對外公布。這樣做的理由是，幫助全球軟件公司快速修復自己的漏洞。

同時，奧曼迪依然沒有停止自己的行動，他最近比較感興趣的是Windows 8。上個月，他在推特上聲稱，自己在Windows 8上發現了一個Bug。

所以這一回，微軟能趕在奧曼迪的公開之前發布補丁是非常幸運的。幾乎所有的微軟安全軟件產品都受到這個漏洞的波及，它們包括Microsoft Security Essentials（MSE）防病毒軟件，企業級安全軟件產品Forefront，云安全服務 Intune等。這些安全軟件保護著大量的微軟軟件產品 的安全，如果漏洞被黑客利用，后果不堪設想。

微軟在緊急安全補丁公告中聲稱，感謝奧曼迪為微軟用戶免于安全威脅所作的貢獻。