時間:2017-12-11 來源:互聯網 瀏覽量:
雖然微軟產品安全漏洞層出不窮,但在大家的印象中,微軟還是一直勤勤懇懇的,有洞就補,但真的是這樣嗎?
軟件工程師Matthias Gliwka撰文稱,今年8月份,他在微軟客戶關係管理器和企業資源規劃軟件中發現了一個安全漏洞,但是微軟拒絕修複。
他隨後通過加密郵件聯係微軟安全響應中心(MSRC),但泥牛入海,沒有得到任何回應。
這位工程師不死心,再次聯係微軟,等了五天才得到回複,稱攻擊者似乎已經事先得到或者繞過了管理員授權,換言之微軟認為這不是漏洞。
Gliwka馬上詳細解釋了問題所在,又連發N封郵件,都沒有回應,最後從微軟客戶那裏要了個電話號碼,直接聯係MSRC。
但詭異的是,客服給他的號碼(562)981-7600並非屬於微軟安全響應中心,而是美國負責石油海上泄露緊急響應的頭號公司Marine Spill Response Corporation,後者的縮寫恰好也是MSRC!
Gliwka接下來跑到推特上,威脅要把漏洞細節,以及與微軟的往來,公之於眾,但礙於安全隱患,他放棄了。
最後在一名德國記者的幫助下,Gliwka最終聯係並說服了微軟,漏洞得到修複。
哦對了,這個漏洞是8月14日發現的,8月17日報告給微軟,12月5日修複,曆時110天,3個月零18天!
