新浪科技訊 北京時(shí)間2月15日上午消息，本周二，微軟在“Patch Tuesday”每月安全更新中發(fā)布了有史以來(lái)最多的補(bǔ)丁，包括57個(gè)與Windows、IE和Office等產(chǎn)品有關(guān)的更新，而其中一半來(lái)自谷歌工程師的發(fā)現(xiàn)。

　　谷歌工程師以往也曾發(fā)現(xiàn)并報(bào)告微軟產(chǎn)品的漏洞，不過(guò)本月谷歌工程師發(fā)現(xiàn)的漏洞數(shù)量超過(guò)了以往。自稱“Windows黑客”的谷歌信息安全工程師馬特休斯·朱茲克(Mateusz Jurczyk)發(fā)現(xiàn)了32個(gè)被微軟認(rèn)定為“重要”的Windows漏洞。而谷歌另一名信息安全工程師基恩維爾·柯德文得(Gynvael Coldwind)則協(xié)助發(fā)現(xiàn)了5個(gè)漏洞。

　　此前，谷歌工程師于10月、11月和12月分別報(bào)告了1個(gè)漏洞，而1月份則沒(méi)有報(bào)告任何漏洞。微軟本月共修復(fù)了64個(gè)漏洞，已接近歷史記錄。

　　微軟一直歡迎來(lái)自外部人士的漏洞報(bào)告。微軟表示：“當(dāng)你在微軟安全公告牌上看到對(duì)某一信息安全專家的認(rèn)可時(shí)，這意味著他們私下向我們報(bào)告了漏洞，與我們合作開發(fā)了補(bǔ)丁，以及在威脅消除之后協(xié)助我們公布了信息。”

　　谷歌工程師曾發(fā)現(xiàn)過(guò)微軟產(chǎn)品的多個(gè)漏洞，但有時(shí)會(huì)直接公布，而不是私下向微軟報(bào)告。2010年6月，谷歌工程師報(bào)告了Windows的一個(gè)嚴(yán)重漏洞，但同時(shí)宣布在發(fā)布完整攻擊代碼之前只給微軟5天時(shí)間來(lái)修復(fù)。微軟對(duì)此感到惱怒，隨后宣布了對(duì)“非微軟產(chǎn)品”的漏洞報(bào)告政策，開始報(bào)告谷歌產(chǎn)品的漏洞。2012年7月，微軟一名工程師宣稱，發(fā)現(xiàn)了通過(guò)Android設(shè)備的大規(guī)模僵尸網(wǎng)絡(luò)惡意軟件，而谷歌對(duì)此表示否認(rèn)。

　　對(duì)于谷歌工程師為何花費(fèi)大量時(shí)間來(lái)研究Windows的漏洞，朱茲克尚未做出回應(yīng)。不過(guò)，這些漏洞有可能是在其他研究中發(fā)現(xiàn)的，例如對(duì)Chrome瀏覽器內(nèi)嵌的PDF閱讀器的研究。

　　如果漏洞較嚴(yán)重，那么朱茲克等工程師傾向于在自己的博客中披露技術(shù)成果。不過(guò)對(duì)于較小的安全問(wèn)題，谷歌工程師會(huì)以符合用戶利益的方式向微軟報(bào)告漏洞。朱茲克等人也試圖利用這些成果進(jìn)行自我宣傳。柯德文得在Google+上表示：“如果你對(duì)朱茲克和我發(fā)現(xiàn)的Windows漏洞感興趣，你可能會(huì)想?yún)⒓咏衲甑腟yScan大會(huì)。”SyScan信息安全大會(huì)將于今年4月召開。

　　谷歌一名發(fā)言人表示：“確保互聯(lián)網(wǎng)用戶的安全遠(yuǎn)遠(yuǎn)不只是使我們自己的產(chǎn)品安全。在不同平臺(tái)上測(cè)試產(chǎn)品和服務(wù)時(shí)，我們常常報(bào)告發(fā)現(xiàn)的漏洞。以負(fù)責(zé)任的方式向軟件提供商報(bào)告漏洞是健康的信息安全社區(qū)的一部分。”(張帆).