其他分享
首页 > 其他分享> > 微软:明明修复了Bug,你们还把我骂上热搜?

微软:明明修复了Bug,你们还把我骂上热搜?

作者:互联网

点击上方 "程序员小乐"关注, 星标或置顶一起成长

后台回复“大礼包”有惊喜礼包!

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

关注订阅号「程序员小乐」,收看更多精彩内容

每日英文

Every story has an ending.but in life, every end is a new beginning.

每段故事都有一个结局。但是在人的一生中,每一个终点同时也是一个新的起点。

每日掏心话

生活这本大书有很多章节,开头往往并不精彩,但既然是自己写的,首先自己就得成为读者。

来自:扩展迷EXTFANS | 责编:乐乐

后端架构师(ID:study_tech)第 1082 次推文

往日回顾:记住下次看小电影前一定要检查一下域名是不是 HTTPS 的,别说小乐没提醒你……

     

   正文   

事情还要从今年早些时候说起。

受疫情影响,诸如Microsoft Teams之类的团队写作与远程会议软件的需求量暴增。

与此同时,这类软件的安全性也显得尤为重要。

然而,在今年3月的时候,Microsoft Teams被曝光存在某个安全缺陷,严重威胁用户数据安全,但微软一个月后才将它修复。

直到现在,外界也不知道到底是什么原因让微软花费了这么长时间。

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

好景不长,不久后的8月份,Microsoft Teams再次被指出存在严重的远程执行漏洞。

这个远程代码执行漏洞可由teams.microsoft.com的新XSS(跨站点脚本)注入触发。

只需要发送一个特制的聊天信息到Microsoft Teams成员或频道中,无需用户交互,***者就能在受害者机器上执行任意代码。

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

不仅如此,***者还能取得受害者计算机完整访问权限,也可通过这些计算机访问公司内部网络。

这意味着,用户乃至公司内部的加密文件、邮件、聊天等等,都很容易被***者盗取。

毫无疑问,这个漏洞隐蔽性和传染性都很强,危害非常大。

资料显示,研究人员在8月31日向微软报告了该Bug,并详细列出了漏洞可能带来的严重后果。

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

然而,微软直到10月底才将其修复。

那么,这个到现在已经修复了一个月的系统漏洞,为什么近日突然在网上火了起来,还让微软成为众矢之的呢?

在公众号程序员小乐回复“offer”,获取算法面试题和答案惊喜礼包。

原来,在微软的公开信息中,将这个漏洞的危险等级划分为低级别的「重要、有欺骗性」。

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

换言之,微软的意思是:大家放心好了,这个漏洞一点都不危险。

而研究人员认为,该漏洞应该属于重大安全漏洞——甚至无需用户交互就能像蠕虫病毒一样传播。

因此,研究人员对微软的轻描淡写和一笔带过感到非常愤怒。

不仅如此,漏洞修复以后,面对用户的质疑,和对漏洞的具体询问,微软都拒绝披露。

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

微软傲慢的态度激怒了很多用户。

于是,有关该漏洞的话题立刻在HackerNews上火了起来,引起开发人员的热烈讨论。

有人认为,本来十分严重的漏洞,微软却将它标记为最低等级,这就是在欺骗用户。

也有人提到,微软既然表示这是个低风险漏洞,那为什么花了两个月时间才把它修复?

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

与此同时,还有开发者专门在GitHub为这个漏洞建立了仓库,嘲讽微软“大事化小小事化了”的态度。

GitHub用户 @Oskarsve 称:现在大家都懂了,一旦出现了严重漏洞,就会被微软标记为低等级「重要、有欺骗性」。

当然,除了这次的吐槽外,还有更多的人翻起了微软的旧账。

有人提到,20年前IE5浏览器上线时,用户若要向微软报告Bug,必须要用信用卡支付100美元定金。

如果Bug属实,100美元退还,如果没bug,100美元就作为浪费微软时间的补偿。

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

更不用说Win 10带来的各种问题——每次Windows升级总会带来个各种各样的Bug,这也已经成了老生常谈的话题。

今年7月,因为Win 10五月更新的Bug实在多到怨声载道,微软还官方发布了一份“如何阻止系统自动更新”的教程。

而今年8月份,由于Win 10的Bug,导致Chrome、Edge、OneDrive、Office和其他应用无故停止同步和清除cookie。

截止目前,都还没有收到微软修复此漏洞的消息。

可想而知,微软被骂是一点也不冤枉了。

PS:欢迎在留言区留下你的观点,一起讨论提高。如果今天的文章让你有新的启发,欢迎转发分享给更多人。

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

欢迎加入后端架构师交流群,在后台回复“学习”即可。

猜你还想看

阿里、腾讯、百度、华为、京东最新面试题汇集

为何 Linus 一个人就能写出这么强的系统,中国却做不出来?

CTO说:Service层的接口是不是多此一举

Java实现单链表、栈、队列三种数据结构

BAT面试经验总结

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=



长按 2 秒,公众号后台回复「手册」即可领取

嘿,你在看吗watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

标签:修复,明明,微软,用户,Teams,漏洞,Bug
来源: https://blog.51cto.com/u_15233911/2871990