因到期披露未修复软件漏洞,谷歌 Project Zero 安全分析师与微软及苹果起争执。
谷歌 Project Zero 团队最新发布的数据显示,即便给安全补丁分发工作造成了压力,谷歌的漏洞披露策略对终端用户的总体影响是积极正面的。
谷歌表示,自 2014 年创立以来,其漏洞跟踪管理平台上报告并披露的漏洞中,95.8% 的漏洞都在 90 天截止期限内被受影响供应商或开源项目修复。
7 月底,谷歌漏洞漏洞跟踪管理平台上有 1,585 个漏洞标记为 “已修复”,仅 66 个漏洞是在没有补丁的情况下披露的。
这 66 个到期披露的漏洞中,有一个是与 2015 年 1 月时流行的 Windows 8.1 相关的。当时微软安全响应中心 (MSRC) 曾要求谷歌在 90 天截止期限基础上多宽限 2 天再披露,但谷歌拒绝了微软的要求,仍按期披露,遂激怒微软安全人员。
微软称,谷歌的决定感觉“不像是遵循原则,更像是‘逮到你了’的宣言”,是将用户暴露在危险之中。而就在此前两周,微软的另一个漏洞也被 Project Zero 在补丁发布前披露了。
谷歌严苛的截止期限与微软长期以来的 “协同漏洞披露”(或称 “负责任披露”)策略并不吻合,微软的策略要求研究人员直到供应商发布了补丁才可以披露漏洞。
然而,就在此事件后一个月,2015 年 2 月 13 日,Project Zero 放松了自己的立场,额外给予了 14 天宽限期。该措施帮助供应商赶在谷歌披露前修复了 174 个漏洞。
如果算上 14 天宽限期内修复的漏洞,Project Zero 发现的漏洞就有 97.5% 都在截止期限前得到了修复,其中 1,224 个漏洞在 90 天截止期限内修复,仅 36 个漏洞是在补丁未推出时披露的。
另一方面,如果漏洞已有野生利用情况,Project Zero 的披露截止期是 7 天。
7 月 31 日发布的 FAQ 中包含了有关其漏洞披露方法的一系列问题和数据,比如是否披露、披露时机,以及披露报告中的细节危及用户和帮助攻击者的程度等。
Project Zero 称,其截止期限方式优于协同披露策略,设置了正确的 “动机平衡”。此前十多年里谷歌一直使用的是协同披露策略,但 Project Zero 认为该策略的效果并不 “令人信服”。
很多补丁用了半年多才发布,我们报告的一些漏洞甚至根本没修复!我们对供应商可以做得更好持乐观态度,但我们没有看到他们在内部诊断、补丁开发、测试、发布过程上有任何改善,而据我们所知,这些改善是可以为用户带来极大好处的。
在 Project Zero 看来,协同披露策略的症结,在于假定只有漏洞报告者和供应商知道相应漏洞的存在。然而,有时候其他人也发现或掌握了同样的漏洞。
另一方面,该团队宣称,设置截止期限后,一家软件供应商的响应时间相比之前的平均 7 年提高了 40%,另一家则倍增了其安全更新频率。
Project Zero 选择协同披露的唯二案例是 CPU 漏洞幽灵和熔断,这两个漏洞某种程度上影响了所有芯片制造商,也是影响苹果 iOS 和 macOS 所用内核的设计问题。
尽管 Project Zero 的漏洞报告及披露威胁可能令其比独立研究员更具分量,该公司确实鼓励所有研究人员都采用截止期限方法,无论截止期是不是 90 天。其逻辑在于,只要该方法被广泛采纳,最终将提升修复过程标准。
Project Zero 还表示,除了 Project Zero 内部参与 “20%项目” 的少数安全工程师,谷歌产品团队也没权限访问技术性漏洞报告。该团队宣称,谷歌自己都没从截止期限方法中获益,因为大多数谷歌产品漏洞并非 Project Zero 发现的。
谷歌 FAQ:
https://googleprojectzero.blogspot.com/p/vulnerability-disclosure-faq.html