礼尚往来, 微软指出谷歌浏览器安全漏洞, 获赠1.5万美元感谢金

日前，微软的安全研究团队在谷歌的Chrome浏览器中发现了允许远程执行代码的漏洞。

本次微软发现的安全漏洞编号为CVE-2017-5121，是一个远程代码执行漏洞。微软批评了谷歌的修补政策，同时还指出，Chrome强调沙箱安全政策对Chrome浏览器安全性来说并不足够。

收到来自微软的关于Chrome安全漏洞的报告后，谷歌承认该漏洞确实存在，并向微软支付了一笔15000美元（约合99270元人民币）的感谢金。微软将这笔感谢金捐给了慈善机构。

此前，谷歌的Project Zero团队一直特别热衷于为微软的Edge浏览器查找漏洞，有时甚至会在微软提供补丁之前就公开宣布这些漏洞。本月初，该团队曾批评微软的修补措施存在缺陷，指出微软经常优先修补最新操作系统的安全漏洞，使得黑客可以通过对比代码找出旧版系统中的同样漏洞并伺机攻击。现在，微软总算“还击”了一回。

不同寻常谷歌的黑客精英团队Project Zero团队：立志守护全世界

即使是一家有钱、有志还有声望来支持信息安全的公司，也无法避免有缺陷的代码产生的影响。最好的质量监控程序和敏捷开发的方式，也无法法捕捉到每一个错误。

许多公司，包括微软和苹果都有内部安全研究团队调查自家的软件。但很少有团队还有余力研究其他公司的软件。这就是Google的Project Zero团队如此不同寻常的原因。

话说谷歌当年成立这支队伍多少还跟我们国家有关

2009年，与天朝相关的网络间谍集团攻击了Google和其他一些技术巨头，破坏他们服务器，窃取他们的知识，并试图监视其用户。这一攻击激怒了Google的高层管理人员，使得Google最终退出了中国。

事后，经过计算机取证公司和调查人员确定，Google遭受的攻击并不是自己的软件错误，而是通过微软IE6中的漏洞进行入侵的。此次事件令Google联合创始人Sergey Brin感到特别困扰。他想知道，凭什么Google的安全性要依赖于其他公司的产品呢？在接下来的日子里，Google开始更加积极地要求竞争对手解决他们软件缺陷。

鉴于谷歌与微软之间在浏览器业务上的竞争关系，双方互相为对方的产品查找漏洞的行为在未来很长一段时间内可能都不会停止。无论如何，对于广大用户来说，这是好事情，因为这意味着无论是谷歌的Chrome还是微软的Edge，都将在这种激烈的竞争之下变得越来越安全。

信息安全危机在全球范围愈演愈烈

现在每个公司都变成了为“科技公司”，黑客越来越普遍。这些黑客在企业银行账户上偷盗，窥探个人信息，干预选举。新闻头条也令人发指：超过10亿的雅虎帐户受损。黑客从SWIFT金融网络窃取了数百万美元。2016年美国总统大选之前，民主党全国委员会的无数私人电子邮件遭到曝光。

据美国身份盗窃资源中心统计，美国公司和政府机构在2016年发生了比2015年多了40％的信息泄露，这还只是保守估计。与此同时，据研究组织Ponemon所进行的一项研究显示，目前数据泄露的平均成本升到了360万美元。

无论是程序员导致的错误，还是某一国家的黑客作怪，数据泄露都是新的常态。因此，信息安全行业全球都面临人才短缺。美国思科公司预计全球有100万个空缺的信息安全岗位。赛门铁克预计，到2019年空缺将增加到150万个。还有人预计，到2021年，这一数字将增至350万。

各类设备的漏洞奖金金额