Google势不可挡。在不到三周的时间里,谷歌披露了总共四个影响Windows的零日漏洞,其中两个在微软准备发布补丁程序的几天之前。微软并没有被Google的反应所逗乐和判断,更多的此类案例很可能随之而来。
这是Google教导他们的竞争更加有效的方法吗?那用户呢? Google严格遵守任意截止日期是否符合我们的最大利益?
Google为什么报告Windows漏洞?
Google安全分析师小组“零号项目"一直在研究零日漏洞。
Google在“零项目"公告中强调,他们的首要任务是确保自己的产品安全。由于Google并非处于真空状态,因此他们的研究扩展到了客户使用的任何软件。
到目前为止,该团队已经确定了200多个不同产品中的错误,包括Adobe Reader,Flash和OS X ,Linux和Windows。每个漏洞仅报告给软件供应商,并有90天的宽限期,然后通过Google安全研究论坛将其公开。
此错误的披露期限为90天。如果经过90天却没有广泛可用的补丁程序,那么该错误报告将自动变为公开可见。
Microsoft就是这样。四次。 Windows的第一个漏洞(问题#118)于2014年9月30日被发现,随后于2014年12月29日发布。1月11日,就在Microsoft准备通过星期二的补丁程序推出修复程序的几天前,第二个漏洞(问题#123)被公开,引发了有关Google是否可以等待的辩论。几天后,公共数据库又出现了两个漏洞(问题128和问题138),从而使情况进一步升级。问题(#118)是一个严重的特权升级漏洞,被证明会影响Windows 8.1。根据《黑客新闻》的说法,“ 可能使黑客修改内容,甚至完全接管受害者的计算机,使数百万用户处于脆弱状态"。 Google没有透露与微软有关此问题的任何沟通。
对于第二个问题(#123),Microsoft要求进行扩展,而当Google拒绝该扩展时,他们努力每月发布该补丁。较早。这些是James Forshaw的评论:
Microsoft确认他们已准备在2015年2月针对这些问题提供修复程序。他们询问这是否会在90天的期限内造成问题。微软被告知,所有供应商和错误类别的90天截止日期是固定的,因此无法延长。此外,他们还获悉,此问题的90天截止日期于2015年1月11日到期。
Microsoft在1月的Update Tuesday更新了这两个问题的补丁。
第三个问题( #128),Microsoft由于兼容性问题不得不推迟修补程序。
Microsoft通知我们,原计划针对一月份的修补程序进行修复,但由于兼容性问题不得不将其撤消。因此,现在有望在2月的修补程序中修复此问题。
即使Microsoft通知Google他们正在努力解决此问题,但由于遇到困难,Google继续发布了该漏洞。没有谈判,没有仁慈。
对于最后一个问题(#138),Microsoft决定不对其进行修复。 James Forshaw添加了以下评论:
Microsoft已经得出结论,该问题不符合安全公告的要求。他们指出,这将需要攻击者的过多控制,并且他们不将组策略设置视为安全功能。
Google的行为是否可以接受?
Microsoft不会这样做。不这么认为。微软安全研究中心高级总监Chris Betz做出了彻底的回应,呼吁更好地协调漏洞披露。他强调,微软相信协作式漏洞披露(CVD),这是研究人员和公司在漏洞上进行协作以最大程度降低客户风险的一种做法。
关于最近发生的事件,贝茨(Betz)确认微软明确要求Google开展工作并保留其详细信息,直到在星期二的补丁程序中分发修补程序为止。 Google忽略了该请求。
尽管一直遵循Google宣布的披露时间表,但此决定感觉不太像原则,而更像是“陷阱",客户可能因此而受苦。
p>
根据Betz的说法,公开披露的漏洞会受到来自网络犯罪分子的精心策划的攻击,当问题通过CVD私下披露并在信息公开之前进行修补时,这种行为几乎看不到。 Betz进一步说,并非所有漏洞都是平等的,这意味着修补问题的时间表取决于其复杂性。
他的合作呼吁是响亮而明确的,他的论点是扎实的。没有一种软件是完美的,这是因为它是由简单的人在复杂的系统上操作而成的。 Betz说道:
对Google来说,适合自己的东西并不总是适合客户。我们敦促Google将保护客户作为我们的共同首要目标。
另一种观点是,Google拥有既定的政策,并且不想让例外发生。您不是像Google这样的超现代化公司所期望的那种灵活性。此外,考虑到成千上万的用户可能受到协同攻击,不仅发布漏洞,而且发布漏洞利用代码都是不负责任的。
如果再次发生这种情况,您该怎么做才能保护您的系统?
从零日漏洞开始,没有软件是永远安全的。您可以采用常识性安全卫生措施来提高自己的安全性。这是Microsoft的建议:
我们鼓励客户在计算机上保留其防病毒软件。
我们的结论:Google应该与Microsoft合作
Google坚持其任意期限,而不是保持灵活性并以用户的最大利益为荣。他们本可以延长显示漏洞的宽限期,尤其是在Microsoft告知(几乎)已准备好补丁程序之后。如果Google的崇高目标是使互联网更安全,那么他们必须准备好与其他公司合作。
同时,微软可能会在开发补丁时投入更多资源。有些人认为90天是足够的时间范围。由于Google的压力,他们实际上确实比最初预计的提前了一个月推出了一个补丁。看起来好像他们最初对问题的重视程度不够。
通常,如果软件供应商表示他们正在解决此问题,则Google零项目团队等研究人员应该合作并延长宽限期。保留一个即将被修补的漏洞秘密似乎比引起黑客的注意更安全。客户安全不应该是任何公司的头等大事吗?
您如何看待?究竟哪种解决方案是更好的解决方案,或者Google到底做对了呢?
图片来源:向导通过Shutterstock,Wak1003mike通过Shutterstock入侵,Mega Pixel通过Red Rope入侵Shutterstock
