令廠商又愛又恨Google安全研究團隊Project Zero上周指出,從2014年以來該團隊發現的漏洞中,高達95.8%都能在期限的90天內修補完成。雖然遭批評,但Google認為設定期限讓網路整體變得更安全。

Project Zero是Google負責挖掘研究開源碼或市售軟、韌體的漏洞。當發現到新漏洞時,Project Zero會寄發該漏洞的詳細技術描述報告給廠商或開源碼專案。報告會告知有90天的揭露大限,等90天一到或修補程式廣為散布(視哪個比較早),這份報告就公諸於世,不論漏洞修補好了沒。許多知名廠商的重大漏洞,包括英特爾的Spectre/Meltdown或蘋果FaceTime及最近的iMessage漏洞都是這個部門的研究傑作,微軟甚至兩度在修補完成被Project Zero公佈漏洞而大表不滿。

現今Google只有二次破例延長揭露漏洞期限。一是Spectre/Meltdown的216天,二是2016年10月MacOS 10.12.1/iOS 10.1中的task_t iOS漏洞的145天。

從2014年啟動至今年7月30日,Project Zero公佈的漏洞中,有1,585個及時在期限內獲得修補,比例為95.8%,66個沒補好。2015年2月13日Project Zero增加14天的揭露寬限期。因此若把時間限縮於2015年2月13日(修補期限改為90+14天)到今年7月底,則及時修補好的漏洞有1,434個,比例高達97.5%,其中90天內修補者有1,224個。只有36個未在期限內修補完成。

Google認為這樣的作法有助於提升軟體安全性,因為如果漏洞只有廠商和記者知情,業者就不會緊急去修補,但有證據顯示,攻擊者發現同一批漏洞的速度,並不亞於安全研究人員。

至於公佈不問修補完成與否,90天一到即公佈漏洞及概念驗證(PoC)攻擊程式,豈不是剛好為駭客所用?Project Zero也有他的說法。他們認為,報告中的概念驗證攻擊往往只是完整攻擊串(exploit chain)的一部份,任何有意圖的攻擊者也要花一番工夫和資源,才能轉化為真正的攻擊行動。相反的,有資源的研究人員可藉由Google分析報告上獲得最多好處。再者這幾年的經驗顯示,那些來不及補好的漏洞,通常也是在90天之後幾天就補上修補程式了。Google甚至認為,隨著業界更多安全研究人員在其報告中加入揭露期限,將可進一步健全漏洞通報的作法。

最後,Google說,只有Project Zero團隊和「20% 專案」(即Google員工有20%的上班時間可用在非本職的專案上)與Project Zero有關的Google員工,會比大眾更早拿到漏洞報告。唯一的例外是,報告主角(即有漏洞者)是Google自己的產品,例如Chrome、Android或其他Google軟體部門。

熱門新聞

Advertisement