风险与重复：高危Windows漏洞引爆披露争议

本周的《风险与重复》播客探讨了Project Zero研究员Tavis Ormandy一条关于Windows漏洞的简单推特如何引发漏洞披露辩论。

是否发推——这是安全研究者在发现尚未修补和披露的漏洞时面临的问题。

上周，谷歌Project Zero的Tavis Ormandy通过推特宣布，他与同事Natalie Silvanovich“刚刚发现了近年来最严重的Windows远程代码执行漏洞”。Ormandy继续推文透露了该Windows漏洞的更多信息，包括相关攻击可在默认安装的系统上生效且具备蠕虫传播能力。

尽管Ormandy未透露该Windows漏洞的任何具体技术细节，但一些IT专业人士对他提前在推特上讨论漏洞表示不满。他们认为在官方披露前发布推文可能引发用户不必要的恐慌，并质疑Ormandy的推文对厂商和企业安全团队的实际价值。

与此同时，另一些人则认为此类推文有益处，可提高对即将披露的漏洞和补丁的认知度，并促使厂商更快响应漏洞报告。

尽管微软迅速处理了该Windows漏洞报告，并于4月8日周一发布了带外补丁，但关于Ormandy推文及负责任漏洞披露规则的讨论仍在持续。

在本周的《风险与重复》播客中，编辑Rob Wright和Peter Loshin讨论了Ormandy推文引发的担忧、负责任披露的伦理问题，以及媒体、企业和用户在这场辩论中的角色。