雅虎安全團隊:漏洞90天不修復,對外公開細節
責編:admin |2014-12-11 19:08:44雅虎安全團隊開始使用與谷歌Project Zero一樣的漏洞披露策略——在將漏洞信息通知受影響廠商的90天后,對外界公開漏洞細節。
科普:關于谷歌Project Zero
谷歌Project Zero團隊主要由谷歌內部頂尖安全工程師組成,而他們的唯一使命就是發現、跟蹤和修補全球性的軟件安全漏洞,其中重點是0day漏洞。
Project Zero團隊并不僅限于在谷歌自有的產品中尋找系統安全漏洞,因為他們也會在任何軟件產品上尋找漏洞。在發現了某個漏洞后,該團隊會對其進行曝光,并通過這種方式來鼓勵相關公司與谷歌聯手對付黑客。
最近幾個月內,Project Zerot的研究者們從微軟、蘋果等公司的產品中找到了大量的漏洞。每當Project Zero發現了一個新的漏洞,他們會通知受影響的廠商。然后從發出通知的那一刻起開始計時,如果廠商在90天以內還沒有對這一漏洞打上補丁,那么Project Zero就會對外公布漏洞細節。
雅虎安全團隊
雅虎公司于幾個月前成立了高級安全小組,由Alex Stamos任首席信息安全官,Chris Rohlf領導滲透測試小組。Rohlf負責的滲透測試團隊花了很多時間對雅虎公司內部軟件和雅虎公司使用的第三方軟件進行測試,一旦他們發現新的漏洞,他們便會緊急修復,然后通知可能受漏洞影響的社區及US-CERT(美國電腦安全緊急回應小組)。
Rohlf在其博客中表示:
高水平的攻擊者一直在挖掘并利用0day漏洞,沒有任何一個產品逃脫得了。
為了保證我們系統的安全,我們的滲透測試小組一直在對我們的系統進行安全測試,試圖找到所有可能存在的漏洞。我們不僅能檢測到雅虎公司自己編寫的軟件上是否存在漏洞,還能檢測到雅虎使用的第三方產品上是否也存在漏洞。
我們堅信參與安全生態圈的建設很重要,因為這樣可以使更少的人受到漏洞攻擊的影響。
90天不修復,漏洞細節公布
雅虎的漏洞披露策略和谷歌一樣——90天不修復,漏洞細節公布。
當前有許多大型軟件商、互聯網公司、組織的內部就有和雅虎滲透測試團隊相類似的團隊,他們也在不斷對自己公司系統的安全進行測試。但是,不是所有的廠商和公司都有和雅虎、谷歌一樣的公開策略。
雅虎認為,三個月是漏洞披露的最佳時間上限,因為這樣漏洞可以在最快的時間內被打上補丁,同時三個月的時間也足夠廠商修復漏洞了。在研究人員發現漏洞后,時間就變成了核心問題,廠商的修復要與時間賽跑。
同時,雅虎承諾將公布他們在三個月內發現的漏洞信息。之所以給出的這么短的時間限制,是因為雅虎想確保這些漏洞會盡快的被打上補丁,但是基于一些特殊的情況雅虎將保留延長或者縮短披露時間的權利。