据外媒ZDNet报道,谷歌Project Zero团队表示,在公开披露的90天截止日期来临之前,他们在其他软件中发现并向各自供应商报告的大约95.8%的安全漏洞得到修复。在周三分享的统计数据中,谷歌的精英安全团队表示,从2014年7月17日(Project Zero创建日期)到7月30日 - 其研究人员发现并向多家硬件和软件供应商报告了总计1585个漏洞。
谷歌表示,供应商只在截止日期来临之前未能为66份报告提交补丁。因此,在向用户提供修复之前,其研究人员被迫公开漏洞技术细节。
在Project Zero历史的前几个月,这个标准的截止日期是非常严格的90天。但是,从2015年2月13日开始,谷歌又增加了14天的宽限期,可以在某些条件下延长截止日期。
谷歌表示,这一宽限期的引入改善了他们报告漏洞的工作。公司有更多的时间来提供补丁,14天的时间也考虑了理论上准备好和可用的更新,但供应商按照严格的每月推出安排它们,这无意中打破了90天的最后期限。这一截止日期调整也对该计划的整体效率和统计数据产生了影响。
“如果我们将分析限制在宽限期延长是一个选项的时间段(2015年2月13日到2019年7月30日),那么我们有1434个修复问题,”谷歌Project Zero团队表示。“其中1224个在90天内被修复,另外174个问题在14天的宽限期内得到修复。这留下了36个漏洞,这些漏洞在没有补丁可供用户使用的情况下被披露,换言之97.5%的问题在截止日期前被修复。”
Project Zero计划最近庆祝了它的五岁生日,它被用来审核Google内部使用的硬件和软件,然后向供应商报告漏洞。
谷歌安全研究人员发现的任何漏洞记录在项目的漏洞跟踪器上,然后报告给供应商。有关这些漏洞报告的信息(有时包括高度技术性的详细信息和用于重现漏洞的概念验证代码)在供应商发布修复程序后或在截止日期没有修补程序时公布。
在过去几年中,Project Zero的研究人员因发布这些高度详细的漏洞描述和概念验证(PoC)漏洞利用代码而受到批评,即使漏洞已得到修复。许多安全专家认为,这些报告帮助攻击者创建攻击以对用户发起攻击。
但在本周发布的FAQ页面中,Project Zero团队为自己的行为辩护,声称漏洞报告有助于防御者而不是攻击者。
“攻击者明显有动力花时间分析安全补丁以了解漏洞(通过源代码审查和二进制逆向工程),即使供应商和研究人员试图隐瞒技术数据,他们也会快速建立完整的详细信息,”Project Zero研究人员说。
他们补充说:“由于防御者与攻击者之间关于漏洞信息的效用非常不同,我们并不认为防御者通常能够承担与攻击者相同的深度分析。我们从维权者那里获得的反馈意见是,他们希望获得有关他们及其用户面临的风险的更多信息。”
因此,从谷歌的角度来看,发布这些细节并不能帮助攻击者,因为他们中的许多人无论如何都会探测更改日志和应用程序二进制文件,但他们肯定会帮助那些想要部署缓解或检测规则的公司和系统管理员。
“这是一个棘手的平衡,但从本质上讲,我们甚至想要公平竞争,”Project Zero的研究人员说。
此外,Project Zero团队还澄清说,当漏洞报告公开时,尽管被修复或未修复,报告中包含的PoC代码并不是完整的漏洞利用链。相反,他们只发布“利用链的一部分”,攻击者“需要进行大量的额外研究和开发才能完成攻击并使其可靠”。
“任何具有资源和技术技能的攻击者将漏洞报告转变为可靠的利用链或通常都能构建类似的利用链,即使我们从未公开过该漏洞,”Project Zero团队表示。
此外,Project Zero团队还借此机会建议其他安全研究人员根据他们的建议,并开始使用固定的披露截止日期进行漏洞报告。“我们认为随着越来越多的研究人员开始在他们的漏洞报告中纳入时间表预期,行业惯例将会得到改善,”Project Zero说。
“安全研究人员可能选择不对其漏洞报告采用披露截止日期政策有很多充分理由,但总体而言,我们已经看到了采用披露截止日期的许多积极成果,我们当然可以将其推荐给其他安全研究人员。”
然而,这些并不是谷歌研究人员共享的唯一信息。Project Zero最近发布的FAQ页面的其他细节和主要讨论点如下:
当Project Zero研究人员报告主动利用的零日漏洞时,供应商截止日期从90天变为7天。
Project Zero分两次打破了90天的披露截止日期 - 分别为task_t iOS问题(145天)以及Meltdown和Spectre漏洞(216天)。
Project Zero PoC不包括完整的漏洞利用链。
披露漏洞细节并不能在短期内帮助攻击者。
防御者拥有从漏洞报告中获得最大收益的人。
谷歌希望其漏洞报告有助于提高整体安全性,例如供应商投资减少攻击面,利用缓解措施,改进沙盒和修复漏洞类。
如果需要,Project Zero可以主动帮助供应商进行修复。
Project Zero还会查找并报告谷歌产品中的漏洞,并通过谷歌的公共漏洞奖励报告。
非Project Zero项目谷歌员工还可以访问Project Zero漏洞报告(根据FAQ:“在20%项目中,团队内部工作的少数安全工程师可以访问Project Zero的漏洞报告”)。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
