周二,Adobe在其几乎无处不在的Flash Player上修补了13个关键漏洞,但很快遭到了Adobe的亲密合作伙伴谷歌的一名安全工程师的批评。
虽然Adobe公司在补丁Flash中列出了十几个bug,谷歌的员工Tavis Ormandy在Twitter上对这个数字表示质疑。
Adobe修补了我用APSB11-21发送给他们的大约400个独特漏洞,这是正在进行的安全审计的一部分。奥曼迪在推特上说周二晚些时候。“不是一个错误。”
APSB11-21是Adobe对安全公告伴随着修改过的Flash Player。
Ormandy显然很生气,因为他的漏洞报告没有在公告中得到认可,该公告同时向10名研究人员点头表示同意谷歌只有“Adobe也希望感谢Tavis Ormandy和Google Chrome团队的巨大工作就解决此Flash Player发布的几种改进。”
为了回应Ormandy第一个关于该主题的推文,Adobe的企业通信高级经理Wiebke Lips,也使用了微博的服务。“Tavis,请不要将样本文件与独特的漏洞混淆。什么是谷歌的议程?”问的嘴唇.
“我不知道谷歌的议程是什么,但我的议程是为我的工作获得荣誉,并将漏洞记录在案,”Ormandy反驳道续推,指责Adobe试图“埋葬结果”,因为他的400岁是“令人尴尬的高”。他还答应于周二稍后发出自己的咨询。
其他人也加入进来,发表了自己的看法。
“谷歌对@ taviiso个人研究的放任心态导致了一些搞笑的情况。它看起来很有趣。惠普的TippingPoint安全研究小组,在星期二推文他自己的。
TippingPoint是向报告漏洞的研究人员提供奖金的最大的独立漏洞代理机构。
正如波特诺伊暗示的那样,奥曼迪对争议并不陌生。
去年,奥曼迪和微软当他上场时交换投篮公共零日漏洞在微软推出补丁之前,他就在Windows XP中发现了这个问题。
在谷歌和Adobe可能的吐痰中,有线索早些时候。在Adobe发布Flash Player更新之前几个小时,谷歌发布新版本Chrome 13和Chrome 14的“稳定”和“beta”版本。两者都包含一个补丁版本的Flash Player。
在博客上宣布新版本的Chrome,谷歌表示,“Chrome团队特别喜欢感谢Tavis Ormandy,Google Security团队,以及捐赠大量时间和计算权力来识别已解决的大量漏洞在此版本的Flash Player中。“
Adobe称谷歌和Ormandy对Flash做出了“一些改进”,当被要求将谷歌的声明与谷歌和Ormandy对Flash的“大量漏洞”的声明相一致时,Lips通过电子邮件发表了一份声明。
“我们定期与安全供应商和其他关键合作伙伴(包括谷歌)在项目上进行合作,并将这些项目的改进视为内部发现,”Lips说。“我们的政策是不在我们的安全公告中披露内部调查结果的细节。”
她还表示,“Adobe正在与谷歌进行合作,”并补充说,她的公司“非常感谢谷歌Chrome团队的帮助。”
自2010年4月以来,谷歌一直用Chrome包装Flash,仍然是唯一的浏览器Maker将插件与自己的版本捆绑在一起。
星期二的Flash更新是因为Adobe推出了一对紧急修复两个月前。到目前为止,Adobe今年已经修补了七次Flash。
在APSB11-21安全公告中,Adobe简洁地列出了13个漏洞,其中5个为“内存破坏”漏洞,另外5个为“缓冲区溢出”漏洞,3个为“整数溢出”漏洞。
Adobe表示,所有都被认为是至关重要的,补充说它不知道任何错误的活动漏洞。
就像苹果在美国,Adobe公司不使用一套威胁评分系统对缺陷进行评分。相反,它使用了“可能导致远程代码执行”的短语来标记漏洞,如果成功利用这些漏洞,黑客可能会在电脑或设备上植入恶意软件。
Adobe归功于10种不同的研究人员,以报告尽可能多的漏洞。
Adobe更新了Windows, Mac OS X,Linux和Solaris版本的Flash Player,以及安卓版,周二。在过去的几次中,Adobe不得不在数天甚至数周的时间内发布不同平台的版本。
还修补了星期二:Flash Media Server,Photoshop CSS,Robohelp和ShockWave播放器。ShockWave刷新解决了七个漏洞,而剩下的三个更新每个都会修补一个错误。
修补版本的Flash播放器其他程序可以从Adobe的网站上下载。或者,用户可以运行Flash的更新工具,或者等待软件提示新版本可用。
GREGG Keizer涵盖了Microsoft,安全问题,Apple,Web浏览器和Computerworld的一般技术突发新闻。在Twitter上关注Gregg@gkeizer,在谷歌+或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
阅读更多关于恶意软件和漏洞的信息在计算机世界的恶意软件和漏洞主题中心。
这篇文章,“谷歌工程师,Adobe争论Flash漏洞信用”最初发表于《计算机世界》 .