微软称：“Chrome在远程代码执行(RCE)缓解上的相对缺乏，意味着从内存崩溃漏洞到漏洞利用之间的路径，可能会非常短。”
 

　　软件巨头微软，在公布谷歌Chrome浏览器RCE漏洞上，动作奇快。当然，今年早些时候，谷歌也曾两度披露微软未修复安全漏洞，让微软很是难堪。

　　去年，微软发布博客文章，批评谷歌的安全漏洞披露是不负责任的——在微软准备打补丁之前，就曝出了重大Windows漏洞。

　　上周，微软终于抓到机会，展示它认为的负责任披露是什么样的：在博客帖子中，微软描述了其上个月就发现，且在9月14号就通告谷歌的一个Chrome远程漏洞。
 

　　微软攻击性安全研究(OSR)团队在帖子中说：“CVE-2017-5121的发现表明，现代浏览器中，是有可能出现可远程利用的漏洞的。Chrome在RCE缓解上的相对缺乏，意味着从内存崩溃漏洞到漏洞利用之路，可能会很短。”

　　谷歌在一周之内便在贝塔版Chrome中修复了该问题，但微软指出，尽管现在已修复，该稳定而公开的渠道“依然在风险中暴露了近一个月。”

　　微软称，这可不是什么小事，因为谷歌在稳定渠道修复之前，就将补丁源代码在GitHub上公开了，也就是说，至少在理论上，攻击者有一个月的时间来利用该漏洞。

　　微软宣称：“这对开源项目而言情有可原，但在补丁可用之前就让攻击者知晓漏洞，那就有问题了。”

　　微软称，尽管其自身Edge浏览器也有部分是开源的，“我们认为有必要先将补丁发布给客户，而不是早早将其公开。”

　　谷歌为该Chrome漏洞，向微软支付了7500美元的漏洞奖金。另有为其他漏洞发放的8337美元，则被微软捐去做了慈善。

(责任编辑：宋编辑)