因到期披露未修复软件漏洞,谷歌 Project Zero 安全分析师与微软及苹果起争执。
谷歌 Project Zero 团队最新发布的数据显示,即便给安全补丁分发工作造成了压力,谷歌的漏洞披露策略对终端用户的总体影响是积极正面的。
谷歌表示,自 2014 年创立以来,其漏洞跟踪管理平台上报告并披露的漏洞中,95.8% 的漏洞都在 90 天截止期限内被受影响供应商或开源项目修复。
7 月底,谷歌漏洞漏洞跟踪管理平台上有 1,585 个漏洞标记为 “已修复”,仅 66 个漏洞是在没有补丁的情况下披露的。
这 66 个到期披露的漏洞中,有一个是与 2015 年 1 月时流行的 Windows 8.1 相关的。当时微软安全响应中心 (MSRC) 曾要求谷歌在 90 天截止期限基础上多宽限 2 天再披露,但谷歌拒绝了微软的要求,仍按期披露,遂激怒微软安全人员。
微软称,谷歌的决定感觉“不像是遵循原则,更像是‘逮到你了’的宣言”,是将用户暴露在危险之中。而就在此前两周,微软的另一个漏洞也被 Project Zero 在补丁发布前披露了。
谷歌严苛的截止期限与微软长期以来的 “协同漏洞披露”(或称 “负责任披露”)策略并不吻合,微软的策略要求研究人员直到供应商发布了补丁才可以披露漏洞。
然而,就在此事件后一个月,2015 年 2 月 13 日,Project Zero 放松了自己的立场,额外给予了 14 天宽限期。该措施帮助供应商赶在谷歌披露前修复了 174 个漏洞。
如果算上 14 天宽限期内修复的漏洞,Project Zero 发现的漏洞就有 97.5% 都在截止期限前得到了修复,其中 1,224 个漏洞在 90 天截止期限内修复,仅 36 个漏洞是在补丁未推出时披露的。
另一方面,如果漏洞已有野生利用情况,Project Zero 的披露截止期是 7 天。
7 月 31 日发布的 FAQ 中包含了有关其漏洞披露方法的一系列问题和数据,比如是否披露、披露时机,以及披露报告中的细节危及用户和帮助攻击者的程度等。
Project Zero 称,其截止期限方式优于协同披露策略,设置了正确的 “动机平衡”。此前十多年里谷歌一直使用的是协同披露策略,但 Project Zero 认为该策略的效果并不 “令人信服”。
“很多补丁用了半年多才发布,我们报告的一些漏洞甚至根本没修复!我们对供应商可以做得更好持乐观态度,但我们没有看到他们在内部诊断、补丁开发、测试、发布过程上有任何改善,而据我们所知,这些改善是可以为用户带来极大好处的。
在 Project Zero 看来,协同披露策略的症结,在于假定只有漏洞报告者和供应商知道相应漏洞的存在。然而,有时候其他人也发现或掌握了同样的漏洞。
另一方面,该团队宣称,设置截止期限后,一家软件供应商的响应时间相比之前的平均 7 年提高了 40%,另一家则倍增了其安全更新频率。
Project Zero 选择协同披露的唯二案例是 CPU 漏洞幽灵和熔断,这两个漏洞某种程度上影响了所有芯片制造商,也是影响苹果 iOS 和 macOS 所用内核的设计问题。
尽管 Project Zero 的漏洞报告及披露威胁可能令其比独立研究员更具分量,该公司确实鼓励所有研究人员都采用截止期限方法,无论截止期是不是 90 天。其逻辑在于,只要该方法被广泛采纳,最终将提升修复过程标准。
Project Zero 还表示,除了 Project Zero 内部参与 “20%项目” 的少数安全工程师,谷歌产品团队也没权限访问技术性漏洞报告。该团队宣称,谷歌自己都没从截止期限方法中获益,因为大多数谷歌产品漏洞并非 Project Zero 发现的。
谷歌 FAQ:
https://googleprojectzero.blogspot.com/p/vulnerability-disclosure-faq.html
文章编辑于 2019-08-14 14:48:34
因到期披露未修复软件漏洞,谷歌 Project Zero 安全分析师与微软及苹果起争执。
谷歌 Project Zero 团队最新发布的数据显示,即便给安全补丁分发工作造成了压力,谷歌的漏洞披露策略对终端用户的总体影响是积极正面的。
谷歌表示,自 2014 年创立以来,其漏洞跟踪管理平台上报告并披露的漏洞中,95.8% 的漏洞都在 90 天截止期限内被受影响供应商或开源项目修复。
7 月底,谷歌漏洞漏洞跟踪管理平台上有 1,585 个漏洞标记为 “已修复”,仅 66 个漏洞是在没有补丁的情况下披露的。
这 66 个到期披露的漏洞中,有一个是与 2015 年 1 月时流行的 Windows 8.1 相关的。当时微软安全响应中心 (MSRC) 曾要求谷歌在 90 天截止期限基础上多宽限 2 天再披露,但谷歌拒绝了微软的要求,仍按期披露,遂激怒微软安全人员。
微软称,谷歌的决定感觉“不像是遵循原则,更像是‘逮到你了’的宣言”,是将用户暴露在危险之中。而就在此前两周,微软的另一个漏洞也被 Project Zero 在补丁发布前披露了。
谷歌严苛的截止期限与微软长期以来的 “协同漏洞披露”(或称 “负责任披露”)策略并不吻合,微软的策略要求研究人员直到供应商发布了补丁才可以披露漏洞。
然而,就在此事件后一个月,2015 年 2 月 13 日,Project Zero 放松了自己的立场,额外给予了 14 天宽限期。该措施帮助供应商赶在谷歌披露前修复了 174 个漏洞。
如果算上 14 天宽限期内修复的漏洞,Project Zero 发现的漏洞就有 97.5% 都在截止期限前得到了修复,其中 1,224 个漏洞在 90 天截止期限内修复,仅 36 个漏洞是在补丁未推出时披露的。
另一方面,如果漏洞已有野生利用情况,Project Zero 的披露截止期是 7 天。
7 月 31 日发布的 FAQ 中包含了有关其漏洞披露方法的一系列问题和数据,比如是否披露、披露时机,以及披露报告中的细节危及用户和帮助攻击者的程度等。
Project Zero 称,其截止期限方式优于协同披露策略,设置了正确的 “动机平衡”。此前十多年里谷歌一直使用的是协同披露策略,但 Project Zero 认为该策略的效果并不 “令人信服”。
“很多补丁用了半年多才发布,我们报告的一些漏洞甚至根本没修复!我们对供应商可以做得更好持乐观态度,但我们没有看到他们在内部诊断、补丁开发、测试、发布过程上有任何改善,而据我们所知,这些改善是可以为用户带来极大好处的。
在 Project Zero 看来,协同披露策略的症结,在于假定只有漏洞报告者和供应商知道相应漏洞的存在。然而,有时候其他人也发现或掌握了同样的漏洞。
另一方面,该团队宣称,设置截止期限后,一家软件供应商的响应时间相比之前的平均 7 年提高了 40%,另一家则倍增了其安全更新频率。
Project Zero 选择协同披露的唯二案例是 CPU 漏洞幽灵和熔断,这两个漏洞某种程度上影响了所有芯片制造商,也是影响苹果 iOS 和 macOS 所用内核的设计问题。
尽管 Project Zero 的漏洞报告及披露威胁可能令其比独立研究员更具分量,该公司确实鼓励所有研究人员都采用截止期限方法,无论截止期是不是 90 天。其逻辑在于,只要该方法被广泛采纳,最终将提升修复过程标准。
Project Zero 还表示,除了 Project Zero 内部参与 “20%项目” 的少数安全工程师,谷歌产品团队也没权限访问技术性漏洞报告。该团队宣称,谷歌自己都没从截止期限方法中获益,因为大多数谷歌产品漏洞并非 Project Zero 发现的。
谷歌 FAQ:
https://googleprojectzero.blogspot.com/p/vulnerability-disclosure-faq.html
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通
优惠提前知
服务更全面
行业资讯通