谷歌公开未打补丁的Windows漏洞

　　在给予微软90天的修补时间之后，微软还是没有修补好一个漏洞，谷歌的一名研究人员最终于上周，在谷歌的安全研究网站上披露了这个Windows 8.1中的漏洞信息，在安全圈引起了一场在漏洞未修补前是否应该披露漏洞信息的争论。

　　这个漏洞允许低级别的Windows用户，在某种情况下成为管理员用户。谷歌表示，目前还不确定早于8.1版本的Windows是否也受到这个漏洞的影响。

　　“在最后期限到达后，不管是否得到修复就公开漏洞，是极为不负责任的，真没想到谷歌这样的大企业也会这样做，”一名安全人员在谷歌的网站上写道。该漏洞是一个普通的本地提权漏洞。“这并不属于那种必需马上解决的高危漏洞，但令人悲哀的是，这种漏洞在Windows里一抓一大把。”

　　另一位研究人员则悲观的表示：“披露这样的漏洞，有着严重的后果。数十亿的用户使用Windows系统，这样做会给用户带来伤害，并且对解决问题没有任何帮助。像谷歌这样影响力巨大的企业，应该控制自己的行为，避免滥用自己的力量。”

　　另外一些人则称赞了谷歌坚持底线的作法。“保持(漏洞的)秘密并没有什么好处，把它曝出来反而能够警醒好那些维护系统安全的人，以尽快采取修补措施。补丁也不是解决问题的唯一办法，在补丁没有发布之前，管理员还是可以使用其他办法保护含有漏洞的系统。”

　　微软在一份声明中表示，将发布针对此漏洞的安全更新，并表示利用这个漏洞并不容易，必需有一个合法的用户身份在本地登录。但微软还是建议用户更新他们的防病毒软件，安装安全更新并打开计算机上的防火墙。

　　谷歌称，其对漏洞披露的90天截止日期是经过“多年认真考虑和行业讨论的结果”，“安全研究人员已经使用大致同样的披露原则长达13年之久……我们认为我们的披露原则需要和信息安全生态系统一起进化。换句话说，威胁发生变化时，披露原则也要相应的变化。”

　　谷歌将密切监视政策实施的效果，“我们想让我们的决定是数据驱动的，我们不断的寻求改善用户安全的方法。我们很高兴地说，最初的效果已经显示出大多数漏洞都在90天的披露日期之前被修复，这是对厂商努力工作的一个证明。”