如何看待谷歌在微軟發布補丁之前公布並演示相關漏洞？

01-20

Microsoft: "We urge Google to make protection of customers our collective primary goal"
Google researcher exposes unpatched Windows 8.1 security flaw
Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl

我倒是覺得微軟沒啥問題，首先這是個本地提權漏洞，你得有物理接觸才能利用。（或者你能通過什麼其他手段遠程執行代碼——能這麼做就已經很可怕了好嗎……）

能物理接觸完了還有時間這麼大費周章地利用漏洞了，那還說個屁。。。。。。。。。。。。。。

而且這只是個繞過UAC的提權漏洞。。。必須要本地（假設其他地方沒有被攻破的話）觸發。唯一的作用是繞過UAC。//修正：看到 @Yangff 說這不是UAC繞過而是更嚴重一些的本地提權//

百度殺毒都比這手段高明（

你就是沒漏洞，我還能通過物理接觸，boot到其它系統里竊取文件呢= =

我覺得吧微軟和穀人希這次其實都沒啥大問題，都是小錯，微軟是流程上的小錯，谷歌是……不作惡。。。。

其實兩家頂多就是拌拌嘴不爽一下而已。。。可能微軟不爽的比較多些、因為之前就有這種事兒了。

還好這不是什麼大漏洞。。。不然穀人希可就呵呵呵了。

整個事兒流程是這樣的，G家研究者發現了漏洞，然後報給了微軟，微軟一看漏洞嚴重性沒啥大不了的嘛，於是就說成我們會放在補丁星期二（但沒說是哪個）的，然後研究者過了九十天發現草你媽微軟還沒修別攔我我要裝逼！

然後就呵呵呵了。

不管怎麼說我覺得這個研究者這樣的行為是挺傻逼的。。我小學二年級就會用cmd替換粘滯鍵來提權成system了。。我也沒到處說啊……

//用人話就是，這個漏洞沒啥大意思，微軟修別的或者開發別的去了放假去了總之就是怠慢了點，完了就開始撕逼了。。

後來我才發現事情並不簡單，這簡直是撕逼的級別了：

剛才咱們說的Forshaw這個漏洞是2014年12月聖誕新年期間爆出來的，當時就已經引起許多微軟用戶尤其是企業IT、以及微軟的很大不滿，我這篇答案也以為大家討論的是這個問題。

結果今天才注意到原來Google在前兩天又自動曝光了一個同樣是本地提權的漏洞。

然後本月的Patch Tuesday是明天（14號）。

在Patch Tuesday之前兩天曝光漏洞，還是在微軟請求了不要曝光並表示將在Patch Tuesday修補的情況下，呵呵。

對這種毫無道德的公司或者對這種員工都不處理的公司，怎麼有那麼多人舔啊。

難道還要把Patch Tuesday為什麼是Patch Tuesday的道理給谷粉們講講么？你不知道一個補丁出來等於說是一個漏洞曝光嗎？你不知道所有的root和越獄出來以後之所以能被官方在日後封殺是因為越獄一出，地球人就都知道漏洞出在哪兒了嗎？現在好了微軟每天給你發補丁，你們公司IT每天跑遍全國去給你裝補丁啊？

I"m ANGRY!!!!

90天修個bug又怎麼了，微軟在開發Windows10欸大哥，能抽出多少人手啊？你光看到這個一個小bug，微軟哪個補丁星期二不是一堆補丁去補一堆比這個嚴重得多的漏洞——你以為只修一個漏洞啊？還是說你以為修這一個小漏洞是完全不會導致什麼東西「突然就跑不起來了」的啊？你要是不公布就可以補丁星期二修，你公布了我就得趕緊立刻發布一個補丁——因為你的公布導致問題的嚴重性上升了。

順帶說說NT4.0舊賬，維基上說得很明白了：

這個所謂的NT4.0漏洞是在2003年被彙報的，當時受影響的包括NT4.0、Windows 2000、Windows XP。後兩者都得到了修復。

而Windows NT4.0對於安全性問題MS03-010並沒有任何更新——沒有更新的原因為，微軟發現「基於Windows NT4.0和Windows 2000一些基本上的差異，為了修正此錯誤而重新編譯Windows NT4.0是不可能的，因為這需要重新建置大部分Windows NT 4.0的操作系統，而不是僅僅修改受影響的的RPC組件。這種規模的系統更新將不能保證原本為了Windows NT 4.0設計的程序能夠繼續在更新過的系統上運作。」

作為替代方案，微軟建議Windows NT 4.0用戶以安裝防火牆阻擋連接埠135以保護他們的NT 4.0系統。

裝防火牆軟體屏蔽135埠就可以了。

於2004年12月31日，微軟終止了Windows NT 4.0，包括安全更新的所有技術支持。因此，微軟建議目前的Windows NT客戶升級為更新、更安全的操作系統，例如Windows 8或者Windows Server 2012。（PS：96年發布，01年最後一個SP包，03年發現這個漏洞，04年技術支持結束）

啊是啊，和這個漏洞能不能立刻更新是一個道理。

PZ小組多好啊，Android篩子一樣都不管，卻整天關注Windows用戶的安全問題，這是一種怎樣的精神?

嗯...做為給Windows打了幾年補丁的碼農頂著鍋蓋來回答一下感謝Google高調曝光再接再厲這樣微軟的資本家們才知道把一個本來沒幾個人的團隊幾個月間生生裁掉三分之一還要每月為十幾個產品線打補丁是不可能完成的任務

1.如果Google真的為用戶著想，他們應該催促Microsoft更快的修補自己的漏洞，因為一個漏洞自己發現了別人也可能發現，設定90天的規則作為催促更新的辦法是一個可以理解的行為。

退一步來說，如果Microsoft對這個90天的規則有異議，他們也應該在一開始就提出異議。事實上他們沒有提出異議，並且的確有能力而且的確在90天之內修復了這個問題。

2.如果Microsoft真的為用戶著想，他們應該在90天之內修復這個漏洞並且在90天之內發布這個漏洞的修正補丁。他們應該在上個星期二修正這個漏洞，或者為了彌補自己的錯誤，打破只在星期二發補丁的規矩（是的不用科普我知道為什麼他們只在星期二發補丁），在90天之內的某個周日或者周六發布補丁。

3.現在的狀況是，Microsoft因為自己的失誤錯過了自己上一個修正補丁的時間，又不願意打破自己定下的只在周二發補丁的規矩，所以希望聯繫Google的研究員改變他定的90天公開漏洞的規矩。在未獲得確定答覆之後依然選擇延遲到周二發布，並且任由Google發布這個漏洞。

4.如果這時候Microsoft依然為用戶著想，他們應該立刻發布補丁，或者退一步冷處理這個事情，將事情的影響縮小，一切拖到周二再說。但是Microsoft最後的選擇是立刻譴責Google的研究員實踐了自己之前說過的話（甚至沒有為自己的拖延道歉）導致在沒有修補的情況下全世界都知道了這個漏洞。實際上Microsoft是以賣掉用戶為代價在批判Google。

5.如果用人人都喜歡的房子做比喻，全景應該是這樣的：

m先生是著名旅店店長，掌握w旅館的產權；g先生髮現旅店有個後門，可能影響旅客安全，把這事告訴了m先生，並且說你得趕緊修，不然說不準別人會發現，你要90天都不修我就要公開這個問題了；m先生然後就把這事忘在腦後了。89天以後掐指一算，好像來不及了，90天的時候又剛好是休息日，神聖的休息日！自己可不能加班修這玩意，不如跟g先生打個招呼讓他先放著。結果打電話沒人接，只是留了個言以後心很大的m先生決定安心度過自己的休息日，結果g先生那邊就直接公開了。m先生大怒，在街上怒罵g先生無德，置自己的旅客安全不顧(這時候門依然沒有被修好)。

6.如果用作惡的邏輯來想這件事，全景應該是這樣的：

Google建立了project zero，只是為了打擊對手；他們打擊對手的辦法是發現對手的漏洞，但是不賣黑市也不利用漏洞做什麼陰險的事情（至少目前為止沒有證據顯示他們這麼做），而是通知漏洞的主人並且設定一個不是星期二的日期為截止日期；然後經過種種精妙的陰謀，對手真的沒有按時修復補丁。於是Google成功提前兩天發布了漏洞！他們的陰謀得逞了！——但是被機智的圍觀群眾看破了Google的陰謀，在知乎上痛斥Google在作惡……

ex.這件事給我們的啟示是，以後如果要給漏洞修復設一個截止日期，這個日期應當且僅應當是星期二。

ex2.你們能不能不要互相貼什麼軟粉谷粉穀人稀的標籤。cnbeta混了這麼久還沒明白這個行為很掉價么。

微軟挺好的我算是個軟粉吧

原來以為軟粉像果粉一樣腦殘的不多，看來我錯了，微軟的信仰粉實在可怕

這事明顯微軟也有一定問題嘛 3個月都不改一個Bug 呵呵

ps 90天不修正自動公布也有一定考量的吧？太久不公布你確定沒有其他人發現？公布了好讓用戶做防範也未嘗不可。比如 WooYun.org | 自由平等開放的漏洞報告平台烏雲也是這麼個流程吧

而且，公布之後也給出了patch的方法我就覺得更沒什麼好指責的了

這個流程值得商榷但樓上一群亂噴的只能呵呵了

還有人說要追究責任， google 一方面通知了MS 一方面沒有以此牟利或者利用漏洞呵呵

=========================================================

說安卓bug多的要麼你去舉報要麼你開個問題討論具體bug 在這裡嘲諷跟loser一樣有意義么

谷歌「不作惡」的信條，已經(本來說是快要)在利益下消失了。

我差點以為這裡是Cnbeta了，谷粉經過之地果然能引起各種罵戰。

畢竟是穀人希的信仰值爆表

典型的斷章取義。對，我是來為 Google 洗地的。

原文寫的是 Google Researcher，而不是 Google。就是說並不確定是個人行為還是公司的「陰謀」。
作者已經在先前通知了MS，並說明90天後MS不給出 Patch 的話會自動公開這個漏洞。
微軟太忙，只會由大家來幫她解決這個問題。漏洞被公開後，過了一天原始頁面下的評論就給出了解決辦法（我沒試過是不是真的可行）。

參考：

Issue 118 -
google-security-research -

Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl

從下面軟粉的答案來看，軟粉好像……都不懂安全行業——怪不得微軟補丁發得慢。

這本來就是有段時間的「不新」的新聞了吧。

已經說了，是過了90天的期限，自動公布的。

發現者也說了有過溝通，公布後不過是微軟和發現者兩者扯皮而已，這種事情又不是沒有過。

真的，漏洞發現者和大公司扯皮一類的事情多得是，我倒是更傾向於支持發現者，包括如果被發現漏洞的公司是Google。

這和Google作惡不作惡有多大關係？

一部分人太也過於屁股決定腦袋了吧。

======================================

150113更新

1. 說「不新」的新聞，是因為最近存在兩個自動公布的漏洞，前一個是大半月前公布的另外一個，最新的自動公布的是前兩天的。我看到的新聞是前一個。

2. 漏洞本身無大小，哪怕是不影響用戶使用的漏洞也得修復。很多情況下也會出現，緊急修復漏洞或者按時發布漏洞更新，但是廠家會說明漏洞在哪些情況下會被利用。注意下會發現，很多情況下的漏洞對自己沒有影響。

3. 公布時間並非臨時起意，也已提前說明90天自動公布了。這漏洞修復90天來不及， 92天就剛好，反正62天也來不及......先禮後兵，算不上為善，也用不著上升到道德高度說作惡。

4. 如果屬於低優先順序漏洞，公布後可以有第三方臨時補丁給需要的人很正常。

一些吐槽：

1. 有人說漏洞簡單無威脅，那就更不需要如此動火了，按照流程自動公布一個無威脅漏洞，貌似沒什麼可發火的。要發火的也該是heartbleed這類的。

2. 拿Google放棄4.4前Webview的更新來比差，別人吃X，你也吃X？何況兩者情況有很大不同。

3. 這句話，赤裸裸的人身威脅，而且裡面的類比邏輯講不通。反正我是舉報了，順便幸慶下自己是匿名。

既然這麼多人都認為Google沒錯，那我要學習一下穀人希。我已經悄悄地記下給Google洗地的幾位了，我去做個專門開你們家門的工具去，你們家的防
盜門廠商要是沒有加固你們的鎖，我就90天後在大街上分發到你們家裡的地圖和這個工具去……到時候您家裡錢丟了啊、人丟了啊什麼的跟我沒關係，反正我是為
了你們好啊，這是防盜門廠商不給力。

4. 這根本沒什麼站隊的需求，非得被一群人弄的烏煙瘴氣。

我倒是更傾向於支持發現者，包括如果被發現漏洞的公司是Google。

-）我想首先強調一下，這並不是一個UAC bypass的漏洞，而是一個本地許可權提升漏洞，這兩者的區別在於前者你至少已經擁有了管理員許可權，而後者利用範圍則廣些，另外按照源地址上有人指出的，微軟對待這兩種漏洞的認識也有所不同（搜索 Definition of a Security Vulnerability這個文檔，我在用手機編輯就不貼出地址了）。（-有人腹黑的猜測微軟是不是把這個漏洞當成UAC bypass了就沒管，結果被公布出來發現被打臉啪啪啪了很不甘心笑-應該不是這樣的）

*）這個漏洞的利用思路挺有趣的，而且順著這個思路可以做到不僅僅是過個UAC而已（反正我現在是Linux doge了而且接下來幾年應該也是。。）（而是可以越權（應該是利用一個內核函數只檢查了sid而沒有檢查許可權）修改 application compatibility data的一個cache，過UAC只是把這個緩存指定成了一個不需要UAC的acd。所以可以乾的事情多了。給人一種bypass的錯覺是那個pof看起來像個UAC bypass，不過作者也強調了這是個許可權提升的漏洞。）

至於這個漏洞好不好修，當然好。放出來的這個漏洞本身只是利用了某個內核函數沒有仔細檢驗調用時的許可權（具體自己去看吧）。90天會修不完？還是說微軟打算重新審計一下全部代碼以確定是否在其他代碼中有類似漏洞（如果這樣Google真是黑了笑，我覺得可能真的有也說不定）

微軟養著這群用著全世界最好用的IDE的程序員修個提權漏洞慢成這樣，好意思說認真修了嗎。。

1）他們的正常流程，有什麼可評價的，具體看最後一段。

2）少拿法律當擋箭牌，說的好像這麼做違法了似的。這事要真違法微軟早就把那個researcher告了，還輪得到你們在這裡放嘴炮？

3）微軟公關真是太TM捉雞了，不過好在這點破事也沒幾個人關注。

4）與其放任風險繼續存在，不如公開。（你可以去看我丟評論裡面一段被人翻出來的nt4時代的舊賬hhh）

5）真當微軟自己發更新包hackers就不能逆向更新包了？真當用戶天天開那個難用的一筆的Windows update？真當用戶天天開那個鬼知道那次就來一個更新應用一次就卡在關機界面36h的Windows update？

6）睡前滾Arch去了。

順便附上源地址的一段話。

Thanks for the robust discussion everyone. We"ve been watching this thread develop, and although the bug tracker is intended for technical analysis and bookkeeping related to the specific issue described, we"re happy to give a little bit of leeway initially as there are some important process/policy issues being raised.

Firstly, just to make this absolutely clear, the ahcache.sys/NtApphelpCacheControl issue was reported to Microsoft on September 30. You can see this in the "Reported" label on the left hand panel of this bug. This initial report also included the 90-day disclosure deadline statement that you can see above, which in this instance has passed.

Project Zero"s disclosure deadline policy has been in place since the formation of our team earlier in 2014. It"s the result of many years of careful consideration and industry-wide discussions about vulnerability remediation. Security researchers have been using roughly the same disclosure principles for the past 13 years (since the introduction of "Responsible Disclosure" in 2001), and we think that our disclosure principles need to evolve with the changing infosec ecosystem. In other words, as threats change, so should our disclosure policy.

On balance, Project Zero believes that disclosure deadlines are currently the optimal approach for user security - it allows software vendors a fair and reasonable length of time to exercise their vulnerability management process, while also respecting the rights of users to learn and understand the risks they face. By removing the ability of a vendor to withhold the details of security issues indefinitely, we give users the opportunity to react to vulnerabilities in a timely manner, and to exercise their power as a customer to request an expedited vendor response.

With that said, we"re going to be monitoring the affects of this policy very closely - we want our decisions here to be data driven, and we"re constantly seeking improvements that will benefit user security. We"re happy to say that initial results have shown that the majority of the bugs that we have reported under the disclosure deadline get fixed under deadline, which is a testament to the hard work of the vendors.

Thanks!

Ben (Project Zero Researcher)

以對方用戶的利益來要挾對方。

其邏輯相當於恐怖分子以美國人民的生命財產安全來要挾美國政府。

如果偏要想是微軟為什麼之前九十天不管，之後馬上搞好。你想想對ios的越獄團隊和蘋果內部反破解的團隊，外面越獄團隊不利用新漏洞，裡面的人漫無目的地找漏洞嗎？但一旦發現利用了這個漏洞來破解，蘋果過兩天就能把丫的漏洞給封了。

這事如果微軟硬了，不妥協，那證明人家有骨氣；微軟服軟了，證明人家以用戶為上帝。

谷歌是什麼，谷歌是一家廣告公司啊！

嗯，谷歌肯定收了微軟錢跑來唱雙簧……

雖然谷歌是家噁心的公司，但我覺得它還是有相關規定的，假如處理了這個研究員倒罷，不處理的話那真是再次突破下限了。

被報告的漏洞有個自動曝光的期限，也是為了引起廠商的重視。即使漏洞沒有被自動公開，你又怎麼知道不會有其他人發現並利用這個漏洞？

軟黨好可怕，作為世界頂級軟體公司的頂級產品，被發現並有限告知了bug，90天沒解決，還互主罵人家發現的人。你們這幫人不也是發現了別人bug微博上立刻呼天搶地的叫出來，看到QQ被發現bug人家立刻幾小時連夜解決又夸人家響應快，耍的一手好雙重標準。

首先要明白，這漏洞是存在，谷歌發現了，不等於別人就不會發現!

然後通知微軟去改，90天時間足夠，但微軟不改，明顯在拖延，這是誰不重視客戶？

建議反對谷歌這麼做的人，重溫一下掩耳盜鈴這個成語！或者學鴕鳥腦袋埋沙子里吧！

另，公布之後，一天就改好了，這說明什麼問題(O_O)？

現在還是有那麼多人覺得爆了你的漏洞就是跟你過不去。

yuange: 漏洞公布出來不可怕，最怕的是不公布出來。可是有多少人能想明白這個道理呢？

佔總用戶數超過60%的Android 4.4以前的用戶已經被拋棄了，這才幾天呀。希望PZ小組多公布幾個漏洞

軟覺得這是內政

谷信仰加成不服

軟憤而硬