微軟:明明修復了Bug,你們還把我罵上熱搜?
事情還要從今年早些時候說起。
受疫情影響,諸如Microsoft Teams之類的團隊寫作與遠程會議軟件的需求量暴增。
與此同時,這類軟件的安全性也顯得尤為重要。
然而,在今年3月的時候,Microsoft Teams被曝光存在某個安全缺陷,嚴重威脅用戶數(shù)據安全,但微軟一個月后才將它修復。
直到現(xiàn)在,外界也不知道到底是什么原因讓微軟花費了這么長時間。
好景不長,不久后的8月份,Microsoft Teams再次被指出存在嚴重的遠程執(zhí)行漏洞。
這個遠程代碼執(zhí)行漏洞可由teams.microsoft.com的新XSS(跨站點腳本)注入觸發(fā)。
只需要發(fā)送一個特制的聊天信息到Microsoft Teams成員或頻道中,無需用戶交互,攻擊者就能在受害者機器上執(zhí)行任意代碼。
不僅如此,攻擊者還能取得受害者計算機完整訪問權限,也可通過這些計算機訪問公司內部網絡。
這意味著,用戶乃至公司內部的加密文件、郵件、聊天等等,都很容易被攻擊者盜取。
毫無疑問,這個漏洞隱蔽性和傳染性都很強,危害非常大。
資料顯示,研究人員在8月31日向微軟報告了該Bug,并詳細列出了漏洞可能帶來的嚴重后果。
然而,微軟直到10月底才將其修復。
那么,這個到現(xiàn)在已經修復了一個月的系統(tǒng)漏洞,為什么近日突然在網上火了起來,還讓微軟成為眾矢之的呢?
原來,在微軟的公開信息中,將這個漏洞的危險等級劃分為低級別的「重要、有欺騙性」。
換言之,微軟的意思是:大家放心好了,這個漏洞一點都不危險。
而研究人員認為,該漏洞應該屬于重大安全漏洞——甚至無需用戶交互就能像蠕蟲病毒一樣傳播。
因此,研究人員對微軟的輕描淡寫和一筆帶過感到非常憤怒。
不僅如此,漏洞修復以后,面對用戶的質疑,和對漏洞的具體詢問,微軟都拒絕披露。
微軟傲慢的態(tài)度激怒了很多用戶。
于是,有關該漏洞的話題立刻在HackerNews上火了起來,引起開發(fā)人員的熱烈討論。
有人認為,本來十分嚴重的漏洞,微軟卻將它標記為最低等級,這就是在欺騙用戶。
也有人提到,微軟既然表示這是個低風險漏洞,那為什么花了兩個月時間才把它修復?
與此同時,還有開發(fā)者專門在GitHub為這個漏洞建立了倉庫,嘲諷微軟“大事化小小事化了”的態(tài)度。
GitHub用戶 @Oskarsve 稱:現(xiàn)在大家都懂了,一旦出現(xiàn)了嚴重漏洞,就會被微軟標記為低等級「重要、有欺騙性」。
當然,除了這次的吐槽外,還有更多的人翻起了微軟的舊賬。
有人提到,20年前IE5瀏覽器上線時,用戶若要向微軟報告Bug,必須要用信用卡支付100美元定金。
如果Bug屬實,100美元退還,如果沒bug,100美元就作為浪費微軟時間的補償。
更不用說Win 10帶來的各種問題——每次Windows升級總會帶來個各種各樣的Bug,這也已經成了老生常談的話題。
今年7月,因為Win 10五月更新的Bug實在多到怨聲載道,微軟還官方發(fā)布了一份“如何阻止系統(tǒng)自動更新”的教程。
而今年8月份,由于Win 10的Bug,導致Chrome、Edge、OneDrive、Office和其他應用無故停止同步和清除cookie。
截止目前,都還沒有收到微軟修復此漏洞的消息。
可想而知,微軟被罵是一點也不冤枉了。
回復關鍵字“簡明python ”,立即獲取入門必備書籍《簡明python教程》電子版
回復關鍵字“爬蟲”,立即獲取爬蟲學習資料
python入門與進階 每天與你一起成長 推薦閱讀
點贊和在看就是最大的支持??