? /來源 | 擴(kuò)展迷EXTFANS/
事情還要從今年早些時候說起。
受疫情影響,諸如Microsoft Teams之類的團(tuán)隊寫作與遠(yuǎn)程會議軟件的需求量暴增。然而,在今年3月的時候,Microsoft Teams被曝光存在某個安全缺陷,嚴(yán)重威脅用戶數(shù)據(jù)安全,但微軟一個月后才將它修復(fù)。直到現(xiàn)在,外界也不知道到底是什么原因讓微軟花費了這么長時間。好景不長,不久后的8月份,Microsoft Teams再次被指出存在嚴(yán)重的遠(yuǎn)程執(zhí)行漏洞。這個遠(yuǎn)程代碼執(zhí)行漏洞可由teams.microsoft.com的新XSS(跨站點腳本)注入觸發(fā)。只需要發(fā)送一個特制的聊天信息到Microsoft Teams成員或頻道中,無需用戶交互,攻擊者就能在受害者機器上執(zhí)行任意代碼。不僅如此,攻擊者還能取得受害者計算機完整訪問權(quán)限,也可通過這些計算機訪問公司內(nèi)部網(wǎng)絡(luò)。這意味著,用戶乃至公司內(nèi)部的加密文件、郵件、聊天等等,都很容易被攻擊者盜取。毫無疑問,這個漏洞隱蔽性和傳染性都很強,危害非常大。資料顯示,研究人員在8月31日向微軟報告了該Bug,并詳細(xì)列出了漏洞可能帶來的嚴(yán)重后果。那么,這個到現(xiàn)在已經(jīng)修復(fù)了一個月的系統(tǒng)漏洞,為什么近日突然在網(wǎng)上火了起來,還讓微軟成為眾矢之的呢?原來,在微軟的公開信息中,將這個漏洞的危險等級劃分為低級別的「重要、有欺騙性」。換言之,微軟的意思是:大家放心好了,這個漏洞一點都不危險。而研究人員認(rèn)為,該漏洞應(yīng)該屬于重大安全漏洞——甚至無需用戶交互就能像蠕蟲病毒一樣傳播。因此,研究人員對微軟的輕描淡寫和一筆帶過感到非常憤怒。不僅如此,漏洞修復(fù)以后,面對用戶的質(zhì)疑,和對漏洞的具體詢問,微軟都拒絕披露。于是,有關(guān)該漏洞的話題立刻在HackerNews上火了起來,引起開發(fā)人員的熱烈討論。有人認(rèn)為,本來十分嚴(yán)重的漏洞,微軟卻將它標(biāo)記為最低等級,這就是在欺騙用戶。也有人提到,微軟既然表示這是個低風(fēng)險漏洞,那為什么花了兩個月時間才把它修復(fù)?與此同時,還有開發(fā)者專門在GitHub為這個漏洞建立了倉庫,嘲諷微軟“大事化小小事化了”的態(tài)度。GitHub用戶 @Oskarsve 稱:現(xiàn)在大家都懂了,一旦出現(xiàn)了嚴(yán)重漏洞,就會被微軟標(biāo)記為低等級「重要、有欺騙性」。當(dāng)然,除了這次的吐槽外,還有更多的人翻起了微軟的舊賬。有人提到,20年前IE5瀏覽器上線時,用戶若要向微軟報告Bug,必須要用信用卡支付100美元定金。如果Bug屬實,100美元退還,如果沒bug,100美元就作為浪費微軟時間的補償。更不用說Win 10帶來的各種問題——每次Windows升級總會帶來個各種各樣的Bug,這也已經(jīng)成了老生常談的話題。
今年7月,因為Win 10五月更新的Bug實在多到怨聲載道,微軟還官方發(fā)布了一份“如何阻止系統(tǒng)自動更新”的教程。
而今年8月份,由于Win 10的Bug,導(dǎo)致Chrome、Edge、OneDrive、Office和其他應(yīng)用無故停止同步和清除cookie。
截止目前,都還沒有收到微軟修復(fù)此漏洞的消息。
可想而知,微軟被罵是一點也不冤枉了。
關(guān)注戀習(xí)Python,Python都好練
推薦閱讀:
