0
| 本文作者: 李旭旭 | 2015-01-14 16:46 |
漏洞披露一直是軟件安全領域的一個難題,而最近這一頑疾又引發了微軟與Google的爭論。上周日,Google公布了Win 8.1中存在的漏洞,而早在十月Google就曾向微軟報告了這一漏洞,90余天過去,面對微軟的無作為,Google公布了這一事實。
微軟稱本打算于周二補丁日更新安全補丁,Google提前公布漏洞無疑將用戶安全暴露在黑客攻擊的危險之中。微軟安全響應中心的高級總監Chris Betz發表了一篇長文,呼吁在漏洞披露方面雙方理應達成一致,不能輕易將用戶安全置之度外。
自2010年起,微軟就在推行協調漏洞披露(CVD),但安全社區一直沒對漏洞披露達成一致。極端的一方提倡完全披露,將漏洞詳細記錄在文件中,公布于眾,這樣便于向開發商施壓,迫使他們盡早解決問題。早先,漏洞發布之前軟件開發商都不知情,不過一些研究人員也保證在公布漏洞之前首先與開發商溝通。
像微軟這樣的開發商傾向另一個解決方案,即“責任漏洞披露”。在這項協議之下,安全漏洞在發現之后必須首先秘密告知開發商,并且在漏洞修復和補丁發布之前,不能公布漏洞的細節,以保證用戶安全。
“責任漏洞披露”這個名字本來就有問題(其隱義就是任何其他披露從本質上講都是不負責任的) ,因此微軟打算重新更名為CVD,其與“責任漏洞披露”的方式差不多,只是當惡意團體利用秘密公布的漏洞攻擊用戶,或軟件開發商無動于衷時,允許在發現漏洞一方在補丁發布前向公眾披露漏洞。
在這一問題上,Google傾向于完全披露。自漏洞發現之后,Google為開發商設定90天的時間期限,在這期間開發商必須發布修復補丁,逾期將向公眾公布漏洞。在此次事件中,Google也是這樣做的,而不巧的是,它恰巧發生在微軟補丁發布前夕,從而引起微軟的譴責。
Google的強硬立場被證明是正確的。在惠普入侵防御系統TippingPoint的“零日計劃”(Zero Day Initiative)的一項名單中,列舉了一系列被公布數百日卻仍未被解決的安全漏洞,其中就包括數個微軟的漏洞。開發商對漏洞無動于衷,遲遲不采取手段,這種拖延將終端用戶置于黑客入侵危險中。
即使漏洞沒有修復,了解漏洞細節仍可以減少病毒植入的幾率,保護用戶安全。面對惡意入侵,即使是有限的保護措施也可以避免損失。
這樣,Google的最后期限在供應商和用戶的權益之間提供了一種平衡。Google堅持在最后期限發布了聲明——還沒接到微軟已經開發好補丁的通知,也沒有被告知最后期限之后的幾天才能發布補丁。
雙方在這個局面中似乎都很倔強。
一方面,Google完全武斷地決定了一個最后期限并堅守它。如果放寬一點,那90天還是92天本質上是沒有區別的。Google為什么不能晚幾天發布這個聲明,好像也沒有一個合理的解釋。
另一方面,微軟也是很頑固。微軟有補丁文件,已經開發并測試好了,就差發布了。然而它選擇不發布——為了符合公司周二補丁日的時間表。周二補丁日的政策非常受IT部門歡迎,因為這樣他們維護和重啟的時間表就非常規則,但這規定也有點死板。
微軟偶爾也沒有按照時間表發布安全更新(一般是在有大范圍傳播的非常明顯的漏洞時),這次不這樣做似乎也沒有非常合理的解釋。
這不是新的較量,微軟和Google的立場都很堅定。微軟的抱怨似乎沒有影響到Google的任何人,而Google的行為似乎也沒有促使微軟更快的行動。雙方都非常頑固,而且任何一方都沒有把消費者的利益擺在首位。
從長期來看,這樣的討論還是有益的。不可避免地,類似的狀況仍然會再次發生,如果兩方公司仍各持己見,用戶的利益將再次陷入困境。Google對微軟的用戶沒有任何責任,但是微軟的責任卻不可逃脫。在處理Google披露的漏洞方面,微軟必須展現出更大的靈活性,即使這會對其IT部門造成很多不便。他們應該明白用戶顯然要重要得多。
鑒于國家支持的黑客行為與政府對 “零日攻擊”的利用不斷增加,即使周二補丁日這項措施也日益受到詬病。周二補丁日的假設為:如果微軟沒有看到利用此漏洞的攻擊出現,那么也許它沒被其他惡意組織發現。因此,可以推遲補丁發布,直到等到一個合適的時機。
這假定微軟知道漏洞何時會被惡意利用,但被高級的、政府支持的黑客攻擊的用戶,也許對于受到攻擊一事并不知情,因此不會向微軟報告這些問題。
因此,另一種情況更應該被重視。當這個假設發生變化,漏洞隨時都有被利用的危險的情況下,盡快做出修復而不是等待適時的“星期二”才是明智之舉。
via arstechnica
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
