0
| 本文作者:李旭旭 | 2015-01-14 16:46 |
漏洞披露一直是软件安全领域的一个难题,而最近这一顽疾又引发了微软与Google的争论。上周日,Google公布了Win 8.1中存在的漏洞,而早在十月Google就曾向微软报告了这一漏洞,90余天过去,面对微软的无作为,Google公布了这一事实。
微软称本打算于周二补丁日更新安全补丁,Google提前公布漏洞无疑将用户安全暴露在黑客攻击的危险之中。微软安全响应中心的高级总监Chris Betz发表了一篇长文,呼吁在漏洞披露方面双方理应达成一致,不能轻易将用户安全置之度外。
自2010年起,微软就在推行协调漏洞披露(CVD),但安全社区一直没对漏洞披露达成一致。极端的一方提倡完全披露,将漏洞详细记录在文件中,公布于众,这样便于向开发商施压,迫使他们尽早解决问题。早先,漏洞发布之前软件开发商都不知情,不过一些研究人员也保证在公布漏洞之前首先与开发商沟通。
像微软这样的开发商倾向另一个解决方案,即“责任漏洞披露”。在这项协议之下,安全漏洞在发现之后必须首先秘密告知开发商,并且在漏洞修复和补丁发布之前,不能公布漏洞的细节,以保证用户安全。
“责任漏洞披露”这个名字本来就有问题(其隐义就是任何其他披露从本质上讲都是不负责任的) ,因此微软打算重新更名为CVD,其与“责任漏洞披露”的方式差不多,只是当恶意团体利用秘密公布的漏洞攻击用户,或软件开发商无动于衷时,允许在发现漏洞一方在补丁发布前向公众披露漏洞。
在这一问题上,Google倾向于完全披露。自漏洞发现之后,Google为开发商设定90天的时间期限,在这期间开发商必须发布修复补丁,逾期将向公众公布漏洞。在此次事件中,Google也是这样做的,而不巧的是,它恰巧发生在微软补丁发布前夕,从而引起微软的谴责。
Google的强硬立场被证明是正确的。在惠普入侵防御系统TippingPoint的“零日计划”(Zero Day Initiative)的一项名单中,列举了一系列被公布数百日却仍未被解决的安全漏洞,其中就包括数个微软的漏洞。开发商对漏洞无动于衷,迟迟不采取手段,这种拖延将终端用户置于黑客入侵危险中。
即使漏洞没有修复,了解漏洞细节仍可以减少病毒植入的几率,保护用户安全。面对恶意入侵,即使是有限的保护措施也可以避免损失。
这样,Google的最后期限在供应商和用户的权益之间提供了一种平衡。Google坚持在最后期限发布了声明——还没接到微软已经开发好补丁的通知,也没有被告知最后期限之后的几天才能发布补丁。
双方在这个局面中似乎都很倔强。
一方面,Google完全武断地决定了一个最后期限并坚守它。如果放宽一点,那90天还是92天本质上是没有区别的。Google为什么不能晚几天发布这个声明,好像也没有一个合理的解释。
另一方面,微软也是很顽固。微软有补丁文件,已经开发并测试好了,就差发布了。然而它选择不发布——为了符合公司周二补丁日的时间表。周二补丁日的政策非常受IT部门欢迎,因为这样他们维护和重启的时间表就非常规则,但这规定也有点死板。
微软偶尔也没有按照时间表发布安全更新(一般是在有大范围传播的非常明显的漏洞时),这次不这样做似乎也没有非常合理的解释。
这不是新的较量,微软和Google的立场都很坚定。微软的抱怨似乎没有影响到Google的任何人,而Google的行为似乎也没有促使微软更快的行动。双方都非常顽固,而且任何一方都没有把消费者的利益摆在首位。
从长期来看,这样的讨论还是有益的。不可避免地,类似的状况仍然会再次发生,如果两方公司仍各持己见,用户的利益将再次陷入困境。Google对微软的用户没有任何责任,但是微软的责任却不可逃脱。在处理Google披露的漏洞方面,微软必须展现出更大的灵活性,即使这会对其IT部门造成很多不便。他们应该明白用户显然要重要得多。
鉴于国家支持的黑客行为与政府对 “零日攻击”的利用不断增加,即使周二补丁日这项措施也日益受到诟病。周二补丁日的假设为:如果微软没有看到利用此漏洞的攻击出现,那么也许它没被其他恶意组织发现。因此,可以推迟补丁发布,直到等到一个合适的时机。
这假定微软知道漏洞何时会被恶意利用,但被高级的、政府支持的黑客攻击的用户,也许对于受到攻击一事并不知情,因此不会向微软报告这些问题。
因此,另一种情况更应该被重视。当这个假设发生变化,漏洞随时都有被利用的危险的情况下,尽快做出修复而不是等待适时的“星期二”才是明智之举。
via arstechnica
雷峰网原创文章,未经授权禁止转载。详情见转载须知。
