禮尚往來, 微軟指出穀歌瀏覽器安全漏洞, 獲贈1.5萬美元感謝金

日前，微軟的安全研究團隊在穀歌的Chrome瀏覽器中發現了允許遠程執行代碼的漏洞。

本次微軟發現的安全漏洞編號為CVE-2017-5121，是一個遠程代碼執行漏洞。微軟批評了穀歌的修補政策，同時還指出，Chrome強調沙箱安全政策對Chrome瀏覽器安全性來說並不足夠。

收到來自微軟的關於Chrome安全漏洞的報告後，穀歌承認該漏洞確實存在，並向微軟支付了一筆15000美元（約合99270元人民幣）的感謝金。微軟將這筆感謝金捐給了慈善機構。

此前，穀歌的Project Zero團隊一直特別熱衷於為微軟的Edge瀏覽器查找漏洞，有時甚至會在微軟提供補丁之前就公開宣布這些漏洞。本月初，該團隊曾批評微軟的修補措施存在缺陷，指出微軟經常優先修補最新操作係統的安全漏洞，使得黑客可以通過對比代碼找出舊版係統中的同樣漏洞並伺機攻擊。現在，微軟總算“還擊”了一回。

不同尋常穀歌的黑客精英團隊Project Zero團隊：立誌守護全世界

即使是一家有錢、有誌還有聲望來支持信息安全的公司，也無法避免有缺陷的代碼產生的影響。最好的質量監控程序和敏捷開發的方式，也無法法捕捉到每一個錯誤。

許多公司，包括微軟和蘋果都有內部安全研究團隊調查自家的軟件。但很少有團隊還有餘力研究其他公司的軟件。這就是Google的Project Zero團隊如此不同尋常的原因。

話說穀歌當年成立這支隊伍多少還跟我們國家有關

2009年，與天朝相關的網絡間諜集團攻擊了Google和其他一些技術巨頭，破壞他們服務器，竊取他們的知識，並試圖監視其用戶。這一攻擊激怒了Google的高層管理人員，使得Google最終退出了中國。

事後，經過計算機取證公司和調查人員確定，Google遭受的攻擊並不是自己的軟件錯誤，而是通過微軟IE6中的漏洞進行入侵的。此次事件令Google聯合創始人Sergey Brin感到特別困擾。他想知道，憑什麼Google的安全性要依賴於其他公司的產品呢？在接下來的日子裏，Google開始更加積極地要求競爭對手解決他們軟件缺陷。

鑒於穀歌與微軟之間在瀏覽器業務上的競爭關係，雙方互相為對方的產品查找漏洞的行為在未來很長一段時間內可能都不會停止。無論如何，對於廣大用戶來說，這是好事情，因為這意味著無論是穀歌的Chrome還是微軟的Edge，都將在這種激烈的競爭之下變得越來越安全。

信息安全危機在全球範圍愈演愈烈

現在每個公司都變成了為“科技公司”，黑客越來越普遍。這些黑客在企業銀行賬戶上偷盜，窺探個人信息，幹預選舉。新聞頭條也令人發指：超過10億的雅虎帳戶受損。黑客從SWIFT金融網絡竊取了數百萬美元。2016年美國總統大選之前，民主黨全國委員會的無數私人電子郵件遭到曝光。

據美國身份盜竊資源中心統計，美國公司和政府機構在2016年發生了比2015年多了40％的信息泄露，這還隻是保守估計。與此同時，據研究組織Ponemon所進行的一項研究顯示，目前數據泄露的平均成本升到了360萬美元。

無論是程序員導致的錯誤，還是某一國家的黑客作怪，數據泄露都是新的常態。因此，信息安全行業全球都麵臨人才短缺。美國思科公司預計全球有100萬個空缺的信息安全崗位。賽門鐵克預計，到2019年空缺將增加到150萬個。還有人預計，到2021年，這一數字將增至350萬。

各類設備的漏洞獎金金額