微软：明明修复了Bug，你们还骂我？-技术圈

事情还要从今年早些时候说起。

受疫情影响，诸如Microsoft Teams之类的团队写作与远程会议软件的需求量暴增。

与此同时，这类软件的安全性也显得尤为重要。

然而，在今年3月的时候，Microsoft Teams被曝光存在某个安全缺陷，严重威胁用户数据安全，但微软一个月后才将它修复。

直到现在，外界也不知道到底是什么原因让微软花费了这么长时间。

好景不长，不久后的8月份，Microsoft Teams再次被指出存在严重的远程执行漏洞。

这个远程代码执行漏洞可由teams.microsoft.com的新XSS（跨站点脚本）注入触发。

只需要发送一个特制的聊天信息到Microsoft Teams成员或频道中，无需用户交互，攻击者就能在受害者机器上执行任意代码。

不仅如此，攻击者还能取得受害者计算机完整访问权限，也可通过这些计算机访问公司内部网络。

这意味着，用户乃至公司内部的加密文件、邮件、聊天等等，都很容易被攻击者盗取。

毫无疑问，这个漏洞隐蔽性和传染性都很强，危害非常大。

资料显示，研究人员在8月31日向微软报告了该Bug，并详细列出了漏洞可能带来的严重后果。

然而，微软直到10月底才将其修复。

那么，这个到现在已经修复了一个月的系统漏洞，为什么近日突然在网上火了起来，还让微软成为众矢之的呢？

原来，在微软的公开信息中，将这个漏洞的危险等级划分为低级别的「重要、有欺骗性」。

换言之，微软的意思是：大家放心好了，这个漏洞一点都不危险。

而研究人员认为，该漏洞应该属于重大安全漏洞——甚至无需用户交互就能像蠕虫病毒一样传播。

因此，研究人员对微软的轻描淡写和一笔带过感到非常愤怒。

不仅如此，漏洞修复以后，面对用户的质疑，和对漏洞的具体询问，微软都拒绝披露。

微软傲慢的态度激怒了很多用户。

于是，有关该漏洞的话题立刻在HackerNews上火了起来，引起开发人员的热烈讨论。

有人认为，本来十分严重的漏洞，微软却将它标记为最低等级，这就是在欺骗用户。

也有人提到，微软既然表示这是个低风险漏洞，那为什么花了两个月时间才把它修复？

与此同时，还有开发者专门在GitHub为这个漏洞建立了仓库，嘲讽微软“大事化小小事化了”的态度。

GitHub用户 @Oskarsve 称：现在大家都懂了，一旦出现了严重漏洞，就会被微软标记为低等级「重要、有欺骗性」。

当然，除了这次的吐槽外，还有更多的人翻起了微软的旧账。

有人提到，20年前IE5浏览器上线时，用户若要向微软报告Bug，必须要用信用卡支付100美元定金。

如果Bug属实，100美元退还，如果没bug，100美元就作为浪费微软时间的补偿。

更不用说Win 10带来的各种问题——每次Windows升级总会带来个各种各样的Bug，这也已经成了老生常谈的话题。

今年7月，因为Win 10五月更新的Bug实在多到怨声载道，微软还官方发布了一份“如何阻止系统自动更新”的教程。

而今年8月份，由于Win 10的Bug，导致Chrome、Edge、OneDrive、Office和其他应用无故停止同步和清除cookie。

截止目前，都还没有收到微软修复此漏洞的消息。

可想而知，微软被骂是一点也不冤枉了。

来源公众号：扩展迷Extfans

最近熬夜给大家准备了515套Java代码，有一些是业务类的小项目，比如Java博客项目，也有脚手架、也有平时用一些的工具类、21套小程序代码，也有一些游戏类的项目。

扫以下二维码并回复“828”即可获取

或者在本公众号对话框回复【828】马上获取