漏洞披露一直是軟件安全領域的一個難題,而最近這一頑疾又引發了微軟與Google的爭論。上週日,Google公佈了Win 8.1中存在的漏洞,而早在十月Google就曾向微軟報告了這一漏洞,90余天過去,面對微軟的無作為,Google公佈了這一事實。
微軟稱本打算於週二補丁日更新安全補丁,Google提前公佈漏洞無疑將用户安全暴露在黑客攻擊的危險之中。微軟安全響應中心的高級總監Chris Betz發表了一篇長文,呼籲在漏洞披露方面雙方理應達成一致,不能輕易將用户安全置之度外。
如何披露漏洞是個問題
自2010年起,微軟就在推行協調漏洞披露(CVD),但安全社區一直沒對漏洞披露達成一致。極端的一方提倡完全披露,將漏洞詳細記錄在文件中,公佈於眾,這樣便於向開發商施壓,迫使他們儘早解決問題。早先,漏洞發佈之前軟件開發商都不知情,不過一些研究人員也保證在公佈漏洞之前首先與開發商溝通。
像微軟這樣的開發商傾向另一個解決方案,即“責任漏洞披露”。在這項協議之下,安全漏洞在發現之後必須首先祕密告知開發商,並且在漏洞修復和補丁發佈之前,不能公佈漏洞的細節,以保證用户安全。
“責任漏洞披露”這個名字本來就有問題(其隱義就是任何其他披露從本質上講都是不負責任的) ,因此微軟打算重新更名為CVD,其與“責任漏洞披露”的方式差不多,只是當惡意團體利用祕密公佈的漏洞攻擊用户,或軟件開發商無動於衷時,允許在發現漏洞一方在補丁發佈前向公眾披露漏洞。
在這一問題上,Google傾向於完全披露。自漏洞發現之後,Google為開發商設定90天的時間期限,在這期間開發商必須發佈修復補丁,逾期將向公眾公佈漏洞。在此次事件中,Google也是這樣做的,而不巧的是,它恰巧發生在微軟補丁發佈前夕,從而引起微軟的譴責。
取得平衡
Google的強硬立場被證明是正確的。在惠普入侵防禦系統TippingPoint的“零日計劃”(Zero Day Initiative)的一項名單中,列舉了一系列被公佈數百日卻仍未被解決的安全漏洞,其中就包括數個微軟的漏洞。開發商對漏洞無動於衷,遲遲不採取手段,這種拖延將終端用户置於黑客入侵危險中。
即使漏洞沒有修復,瞭解漏洞細節仍可以減少病毒植入的機率,保護用户安全。面對惡意入侵,即使是有限的保護措施也可以避免損失。
這樣,Google的最後期限在供應商和用户的權益之間提供了一種平衡。Google堅持在最後期限發佈了聲明——還沒接到微軟已經開發好補丁的通知,也沒有被告知最後期限之後的幾天才能發佈補丁。
Google與微軟的倔強
雙方在這個局面中似乎都很倔強。
- 一方面,Google完全武斷地決定了一個最後期限並堅守它。如果放寬一點,那90天還是92天本質上是沒有區別的。Google為什麼不能晚幾天發佈這個聲明,好像也沒有一個合理的解釋。
- 另一方面,微軟也是很頑固。微軟有補丁文件,已經開發並測試好了,就差發布了。然而它選擇不發佈——為了符合公司週二補丁日的時間表。週二補丁日的政策非常受IT部門歡迎,因為這樣他們維護和重啟的時間表就非常規則,但這規定也有點死板。
微軟偶爾也沒有按照時間表發佈安全更新(一般是在有大範圍傳播的非常明顯的漏洞時),這次不這樣做似乎也沒有非常合理的解釋。
受傷的總是用户
這不是新的較量,微軟和Google的立場都很堅定。微軟的抱怨似乎沒有影響到Google的任何人,而Google的行為似乎也沒有促使微軟更快的行動。雙方都非常頑固,而且任何一方都沒有把消費者的利益擺在首位。
從長期來看,這樣的討論還是有益的。不可避免地,類似的狀況仍然會再次發生,如果兩方公司仍各持己見,用户的利益將再次陷入困境。Google對微軟的用户沒有任何責任,但是微軟的責任卻不可逃脱。在處理Google披露的漏洞方面,微軟必須展現出更大的靈活性,即使這會對其IT部門造成很多不便。他們應該明白用户顯然要重要得多。
鑑於國家支持的黑客行為與政府對 “零日攻擊”的利用不斷增加,即使週二補丁日這項措施也日益受到詬病。週二補丁日的假設為:如果微軟沒有看到利用此漏洞的攻擊出現,那麼也許它沒被其他惡意組織發現。因此,可以推遲補丁發佈,直到等到一個合適的時機。
這假定微軟知道漏洞何時會被惡意利用,但被高級的、政府支持的黑客攻擊的用户,也許對於受到攻擊一事並不知情,因此不會向微軟報告這些問題。
因此,另一種情況更應該被重視。當這個假設發生變化,漏洞隨時都有被利用的危險的情況下,儘快做出修復而不是等待適時的“星期二”才是明智之舉。
via arstechnica
資料來源:雷鋒網
作者/編輯:李旭旭
請按此登錄後留言。未成為會員? 立即註冊