微軟公開譴責Google不當揭露Windows漏洞！

Google的Project Zero安全團隊在去年12月30日透過自動系統公布了微軟Windows 8.1 Update的零時差漏洞，並公布了相關的概念驗證攻擊程式。此舉除了引起外界的批評外，現在微軟更公開譴責Google的行為。

微軟表示，公司崇尚的是「協調的漏洞揭露原則」（Coordinated Vulnerability Disclosure，CVD），根據此一原則，漏洞發現者要把最新發現的漏洞私下直接提報給業者或是國家級的緊急應變中心，以讓業者有機會在該漏洞被公開揭露前進行診斷、測試，並推出解決方案，發現者也會與業者合作進行漏洞調查。不論是第三方發現微軟漏洞，或是微軟發現第三方業者的漏洞都應遵循此一原則。

微軟安全回應中心資深總監Chris Betz指出，Google的行為瓦解了此一原則，就在微軟準備於每月第二個周二（1/13）進行例行性修補之前公布了微軟的漏洞，而且，微軟還曾要求Google協助微軟保護客戶，不要在本周二前公布漏洞細節。然而，Google仍然以遵循揭露時程表（90天）為由揭露了該漏洞，讓他覺得Google根本就是想要表達「被我抓到了」，而不是什麼原則性問題，因此呼籲Google應該以保護客戶為雙方合作的首要目標。

Betz說，軟體都是人類打造的，沒有完美的軟體，微軟必須維護客戶的利益並儘速且全面的修補漏洞。微軟感激那些正面的合作與資訊分享，但希望研究人員能夠私下向業者提報漏洞並與之合作，在修補程式出爐前不要公開分享漏洞資訊，而這也是可造福大多數客戶的作法，而那些限制或忽略合作效益的政策與作法則是個零和遊戲，將讓研究人員、業者或客戶都受到傷害。

雖然「Betz說，軟體都是人類打造的，沒有完美的軟體」但神奇的是，就是只有微軟的破爛窗戶問題特別多！永遠都修補不完！包括停產很久的WinXP到現在都還有一狗票OOXX漏洞！