这场两个安全公司之间的口水战显示出漏洞提交是一件非常敏感的事,尤其是流行软件产品的漏洞。
在火眼恶意软件保护(MPS)产品中发现了5个漏洞的公司是德国一家安全咨询公司ERNW的一名研究人员。这些漏洞中的其中之一,可以被攻击者利用获得主机访问权,ERNW在今年4月初就将漏洞细节提交给了火眼。前者本来计划在90天漏洞披露期之后,才会公开漏洞细节。但之后,两个公司之间的关系开始变得紧张起来。
火眼在评估了ERNW提交的漏洞之后,认为包含了太多其MPS产品的内部工作细节。虽然ERNW认为这些细节需要告诉人们,才能理解漏洞的风险所在,但火眼还是将这些内容从公告中移除。
ERNW公司的创始人伊诺·瑞在8月5日与火眼公司见面会谈,并就漏洞披露文档的草案达成一致意见。但仅一天后,火眼就给ERNW发了一封终止函。声称由于涉及到该公司知识产权的披露,之前达成的协议草案无效。
然后不等ERNW的书面回应,火眼在8月13日从德国汉堡的地方法庭申请了一张禁止令。于是,漏洞发现人员在会议上做演讲时,只能屏蔽掉与火眼产品有关的内容,以免违背法庭的禁止令。
瑞表示火眼将此事闹上法庭是他始料不及的,因为在8月5日明明与对方达成了漏洞披露的一致意见。而火眼则声称,并不想阻止ERNW公开讨论漏洞内容,只是不想让自己的知识产机信息被公开,因为会对其公司业务和客户带来风险。
德国的法律不允许他们发布不属于他们的知识产权信息。火眼在9月8日发布了一个漏洞公告,但公告中并没有按照惯例列出修补此漏洞的时间点。
作者:Recco
来源:51CTO
