Google緊急公開Windows零時差漏洞，但微軟還沒寫好修補程式

只通報10天就公開漏洞！Google以出現攻擊為由，為了向使用者示警，緊急公開了10天前通報給微軟的一個Windows重大零時差漏洞，但微軟還沒準備好這個漏洞的修補程式。Google此舉也引發了微軟的不滿。但因此漏洞是Flash的衍生漏洞，若已更新了Adobe提供的修補程式也可減緩Windows漏洞的威脅。

Google威脅分析部門研究人員Neel Mehta 和 Billy Leonard指出，這個漏洞是存在於Windows核心的本機權限升級漏洞。只要透過設定程式畫面視窗屬性的win32k.sys系統函式呼叫NtSetWindowLongPtr()，將視窗樣式參數GWL_STYLE的數值設為WS_CHILD（子視窗樣式）時，要取得子視窗ID時，就會一併觸發這個漏洞。簡單來說，就是惡意程式可以在設定應用程式視窗樣式時，暗中調高惡意程式的權限，繞過安全沙盒防護執行。

Google安全研究人員補充指出，網路上已經出現攻擊程式針對這項漏洞展開攻擊，也讓本漏洞風險進一步升高，不過該公司表示Chrome的沙盒利用win32k鎖定防護(lockdown)技術能防堵win32k.sys系統呼叫，可減緩Windows 10上的攻擊。

Google在10月21日發現該漏洞並通報微軟，卻在僅10天之後即公佈，違反了安全業界通報修補的90天期限。微軟修補程式此時還在趕製中，Google就將此漏洞公告天下，此舉也引發微軟的不滿。

微軟發佈聲明批評，「我們向來遵行漏洞公佈上的協同，今天Google片面公佈漏洞資訊將置客戶於重大風險之中。Windows才是調查經通報的安全問題及為受影響裝置儘速升級的唯一平台，並提供Windows 10及Microsoft Edge瀏覽器用戶最佳防護。」

Google 公開微軟漏洞引發相互指責，錯在何方？

系統出現漏洞是常有的事情，但如果這些漏洞被公開給包括潛在駭客在內的所有人，那恐怕任何公司都難免要追究公開者的責任。類似的狀況，恰好發生在了微軟和 Google 身上。

10 月 31 日，Google 安全部門旗下的風險分析小組發佈部落格，公開了團隊成員發現的隱藏在微軟 Windows 系統內核的一個漏洞，這一漏洞允許駭客升級本地權限，「逃離」Windows 安全沙盒。在文章的最後，Google 建議用戶及時安裝 Windows 升級包。

公開軟體工具漏洞以督促軟體工具開發商開發修補程式的事情很常見，但 Google 這次之所以會引起微軟的抗議，原因就在於公開漏洞的時機和方式。在這篇文章發佈之前，微軟並沒有在 Google 要求的 7 天之內更新操作系統，因此根據 Google 在 2013 年發佈的一份聲明，Google 選擇在 10 月 31 日正式對外公開漏洞的詳細內容。

我們一般建議軟體工具開發商應該在 60 天之內修補重大漏洞，如果難以修補，他們應該向公眾告知潛在的風險，並提供解決辦法。如果報告的漏洞需要有更長的修復時間，我們建議研究人員公開他們的研究成果。不過根據我們的經驗，大概 7 天的修復期對於不斷得到利用的重大漏洞而言是更合適的。

所以，目前沒有跡象表明 Google 是故意針對微軟才出此對策，畢竟 Google 也把這一風險報告給了 Adobe，後者在 26 日就發佈了編號為「CVE-2016-7855」的升級。

雖然 Google 安全團隊給軟體工具廠商留下的窗口期是完全公開的，但是微軟仍然對 Google 將重大漏洞提前公之於眾的行為非常不滿。微軟 Windows 執行副總裁 Terry Myerson 今天發文回應，並譴責了 Google 的行為：

我們堅信一個負責任的科技公司會把客戶放在第一的位置，並透過合作解決問題。Google 在修復程式完成之前公開這一系統漏洞的決策非常令人失望，把客戶暴露於不斷惡化的風險中。

在這份聲明裡，Terry 還宣佈針對這一漏洞推出的升級修補程式將會在 11 月 8 日正式推送，總算是有了比較清晰的時間表。

關於 Google 是否應該只給軟體工具開發商 7 天的修復時間，行業人士各有各的看法。即時數據保護平台 enSilo CTO Udi Yavo 在接受外媒 TechNewsWorld 採訪時認為 Google 這一行為無異於將知悉這一漏洞的群體從少數有能力利用它的人群擴展到所有人。

不過也有分析師從駭客社群的活躍程度方面認可 Google 的做法：

考慮到駭客們交流的密切程度，7 天的修復期或許還是太長了。

考慮到消費者難以在這樣的系統級漏洞曝光後保護電腦安全，所以現在大家能做的只是靜靜等待到 11 月 8 日，並及時安裝最新修補程式。

引發微軟的不滿？微軟的破爛窗戶反正「重大零時差漏洞」無限多！什麼時候公佈，根本就沒任何影響！