谷歌 Project Zero 90 天截止期限:97.5% 的漏洞在披露前修復
責編:gltian |2019-08-14 15:30:50因到期披露未修復軟件漏洞,谷歌 Project Zero 安全分析師與微軟及蘋果起爭執。
谷歌 Project Zero 團隊最新發布的數據顯示,即便給安全補丁分發工作造成了壓力,谷歌的漏洞披露策略對終端用戶的總體影響是積極正面的。
谷歌表示,自 2014 年創立以來,其漏洞跟蹤管理平臺上報告并披露的漏洞中,95.8% 的漏洞都在 90 天截止期限內被受影響供應商或開源項目修復。
7 月底,谷歌漏洞漏洞跟蹤管理平臺上有 1,585 個漏洞標記為 “已修復”,僅 66 個漏洞是在沒有補丁的情況下披露的。
這 66 個到期披露的漏洞中,有一個是與 2015 年 1 月時流行的 Windows 8.1 相關的。當時微軟安全響應中心 (MSRC) 曾要求谷歌在 90 天截止期限基礎上多寬限 2 天再披露,但谷歌拒絕了微軟的要求,仍按期披露,遂激怒微軟安全人員。
微軟稱,谷歌的決定感覺“不像是遵循原則,更像是‘逮到你了’的宣言”,是將用戶暴露在危險之中。而就在此前兩周,微軟的另一個漏洞也被 Project Zero 在補丁發布前披露了。
谷歌嚴苛的截止期限與微軟長期以來的 “協同漏洞披露”(或稱 “負責任披露”)策略并不吻合,微軟的策略要求研究人員直到供應商發布了補丁才可以披露漏洞。
然而,就在此事件后一個月,2015 年 2 月 13 日,Project Zero 放松了自己的立場,額外給予了 14 天寬限期。該措施幫助供應商趕在谷歌披露前修復了 174 個漏洞。
如果算上 14 天寬限期內修復的漏洞,Project Zero 發現的漏洞就有 97.5% 都在截止期限前得到了修復,其中 1,224 個漏洞在 90 天截止期限內修復,僅 36 個漏洞是在補丁未推出時披露的。
另一方面,如果漏洞已有野生利用情況,Project Zero 的披露截止期是 7 天。
7 月 31 日發布的 FAQ 中包含了有關其漏洞披露方法的一系列問題和數據,比如是否披露、披露時機,以及披露報告中的細節危及用戶和幫助攻擊者的程度等。
Project Zero 稱,其截止期限方式優于協同披露策略,設置了正確的 “動機平衡”。此前十多年里谷歌一直使用的是協同披露策略,但 Project Zero 認為該策略的效果并不 “令人信服”。
很多補丁用了半年多才發布,我們報告的一些漏洞甚至根本沒修復!我們對供應商可以做得更好持樂觀態度,但我們沒有看到他們在內部診斷、補丁開發、測試、發布過程上有任何改善,而據我們所知,這些改善是可以為用戶帶來極大好處的。
在 Project Zero 看來,協同披露策略的癥結,在于假定只有漏洞報告者和供應商知道相應漏洞的存在。然而,有時候其他人也發現或掌握了同樣的漏洞。
另一方面,該團隊宣稱,設置截止期限后,一家軟件供應商的響應時間相比之前的平均 7 年提高了 40%,另一家則倍增了其安全更新頻率。
Project Zero 選擇協同披露的唯二案例是 CPU 漏洞幽靈和熔斷,這兩個漏洞某種程度上影響了所有芯片制造商,也是影響蘋果 iOS 和 macOS 所用內核的設計問題。
盡管 Project Zero 的漏洞報告及披露威脅可能令其比獨立研究員更具分量,該公司確實鼓勵所有研究人員都采用截止期限方法,無論截止期是不是 90 天。其邏輯在于,只要該方法被廣泛采納,最終將提升修復過程標準。
Project Zero 還表示,除了 Project Zero 內部參與 “20%項目” 的少數安全工程師,谷歌產品團隊也沒權限訪問技術性漏洞報告。該團隊宣稱,谷歌自己都沒從截止期限方法中獲益,因為大多數谷歌產品漏洞并非 Project Zero 發現的。
谷歌 FAQ:
https://googleprojectzero.blogspot.com/p/vulnerability-disclosure-faq.html