Bug满天飞 微软安全更新半数靠谷歌工程师发现

　　本周二，微软在“Patch Tuesday”每月安全更新中发布了有史以来最多的补丁，包括57个与Windows、IE和Office等产品有关的更新，而其中一半来自谷歌工程师的发现。

　　谷歌工程师以往也曾发现并报告微软产品的漏洞，不过本月谷歌工程师发现的漏洞数量超过了以往。自称“Windows黑客”的谷歌信息安全工程师马特休斯・朱兹克（Mateusz Jurczyk）发现了32个被微软认定为“重要”的Windows漏洞。而谷歌另一名信息安全工程师基恩维尔・柯德文得（Gynvael Coldwind）则协助发现了5个漏洞。

　　此前，谷歌工程师于10月、11月和12月分别报告了1个漏洞，而1月份则没有报告任何漏洞。微软本月共修复了64个漏洞，已接近历史记录。

　　微软一直欢迎来自外部人士的漏洞报告。微软表示：“当你在微软安全公告牌上看到对某一信息安全专家的认可时，这意味着他们私下向我们报告了漏洞，与我们合作开发了补丁，以及在威胁消除之后协助我们公布了信息。”

　　谷歌工程师曾发现过微软产品的多个漏洞，但有时会直接公布，而不是私下向微软报告。2010年6月，谷歌工程师报告了Windows的一个严重漏洞，但同时宣布在发布完整攻击代码之前只给微软5天时间来修复。微软对此感到恼怒，随后宣布了对“非微软产品”的漏洞报告政策，开始报告谷歌产品的漏洞。 2012年7月，微软一名工程师宣称，发现了通过Android设备的大规模僵尸网络恶意软件，而谷歌对此表示否认。

　　对于谷歌工程师为何花费大量时间来研究Windows的漏洞，朱兹克尚未做出回应。不过，这些漏洞有可能是在其他研究中发现的，例如对Chrome浏览器内嵌的PDF阅读器的研究。

　　如果漏洞较严重，那么朱兹克等工程师倾向于在自己的博客中披露技术成果。不过对于较小的安全问题，谷歌工程师会以符合用户利益的方式向微软报告漏洞。朱兹克等人也试图利用这些成果进行自我宣传。柯德文得在 Google+上表示：“如果你对朱兹克和我发现的Windows漏洞感兴趣，你可能会想参加今年的SyScan大会。”SyScan信息安全大会将于今年4月召开。

　　谷歌一名发言人表示：“确保互联网用户的安全远远不只是使我们自己的产品安全。在不同平台上测试产品和服务时，我们常常报告发现的漏洞。以负责任的方式向软件提供商报告漏洞是健康的信息安全社区的一部分。”