微軟算是世界上目標最大,也最注重資訊安全的公司,畢竟自家的作業系統在全球有極高的佔有率,而 Windows 隔一陣子就會有更新檔的傳統也是幾十年不變,但即使是這麼頻繁的維護系統,仍然可能會有疏漏之處,通常最熟悉自家產品的微軟第一時間是搶快修補,但最近他們覺得,Google 常常刻意在漏洞修補完成前就提前曝光漏洞,藉此打擊投資人對微軟的信心。於是 微軟反擊 Google 的作法,不手軟的幫 Google Chrome 瀏覽器抓漏,還不小心拿了一筆 Google 發的抓漏獎金。雖然只是 1.5 萬美元的獎金,但對微軟來說,這也是一場互利互惠的復仇:
▲Google 常常「研究」微軟產品的漏洞,惹到微軟也來「研究」Google 產品。(圖片來源)
Google 跟微軟都是世界知名的科技公司,兩家公司各有擅長的領域,也有競爭的地方。彼此之間的軟體與服務都相當的龐雜,以微軟來說,以作業系統為主的業務就佔了很大的比例,Google 則是跟搜尋引擎、AI 方面格外重視,如此重視資安的兩家公司,最近卻在抓漏洞這件事上低調的鬧翻了。一開始 Google 幫微軟找到一些 Windows 的漏洞,但沒有直接告訴微軟就先讓這些漏洞曝光,讓急著修復更新的微軟等於疲於奔命,一邊面對輿論指控,一邊要盡起責任把問題解決。微軟認為,既然找到漏洞,不是直接反映給原廠,而是選擇不負責任的把問題攤開來講,這點讓人覺得是在找碴,於是微軟不急著吵架,也不需要吵架。
只需要幫對手分析產品安全度就行了,你懂的:
(圖片來源)
微軟出手,在上個月剛好發現了一個可以讓 Chrome 瀏覽器被遠端入侵的漏洞。為了教教 Google 的抓漏部隊正確的抓漏手法,微軟的安全團隊透過部落格概述了這個漏洞的執行問題,批評 Google 的安全性補強措施,另外,Chrome 的 dev 與 Canary Channel 會在數小時至一週的時間內修補問題,但正式版卻必須晾著一個月才能更新,這些是對使用者不負責任的行為。
不過,微軟就算透過部落格批評 Google ,他們也沒有直接把漏洞攤開來講,而是選擇直接向 Google 提出漏洞的問題。據了解,微軟的「反擊」是以自行開發的漏洞檢查工具ExprGen來檢驗Chrome瀏覽器所使用的V8 JavaScript引擎,不但發現了一堆漏洞,還順便製作了攻擊程式,接著在9月14日將問題傳給Google,總計獲得Google所頒發的 15,837 美元(折合 478,604 新台幣元)抓漏獎金,不但吃了人家的豆腐,還有獎金可以撈,微軟的「報復」可以說有吃又有拿:
(圖片來源)
對於微軟而言,最討厭的作法就是像 Google 那樣生怕別人不知道對方有漏洞的方式。而 Google 據說允許工程師在七天後才向當事方報告詳細的訊息,而 Google 對於對手產品的研究也相當的深。常常幫人抓漏,很顯然兩家公司最近或許會有一場會談,至於談完是不是還會這麼劍拔弩張,就不得而知了。