谷歌希望供应商在发现之前未知的、被积极利用的软件漏洞7天内修复或提供缓解建议。
谷歌的安全工程师克里斯·埃文斯和德鲁·欣茨周三在一份博客。
[恶意软件罢工:如何清洁受感染的PC]
在2010年,谷歌研究人员提出了一个60天内公开关键漏洞的截止日期,并表示供应商应该在这个时间框架内发布补丁或缓解信息。
然而,“基于我们的经验,我们认为,在7天内更紧急行动 - 适用于积极开发的关键漏洞,”谷歌安全工程师表示。“这种特殊名称的原因是,每天都有积极利用的脆弱性仍然没有公共和未被划分的,更多的计算机将受到损害。”
多年来,谷歌安全研究人员发现了几十个攻击者在第三方供应商,埃文斯和Hintz的软件中积极地定向公开目标的漏洞或“零日”漏洞。“我们始终立即向受影响的供应商向受影响的供应商报告这些案件,我们与他们密切合作,以推动解决问题,”他们说。
谷歌安全工程师表示,许多零点漏洞用于针对目标攻击中的特定人群,这些攻击通常比较更严重,而不是更严重的人。例如,来自世界某些部分的政治活动家经常有针对性的,他们的计算机妥协可以对他们的个人安全产生真正的影响,他们说。
“七天是一个激进的时间表,对于一些供应商来说可能太短暂,可以更新他们的产品,但应该有足够的时间发布有关可能的缓解的建议,例如暂时禁用服务,限制访问或联系供应商了解更多信息,“埃文斯和亨兹说。
谷歌预计将被持有相同的标准,并希望为零漏洞响应的新推荐时间框架将改善漏洞管理的协调和网络上的整体安全状态。
安全公司Risk Based security的首席研究官卡斯滕·埃拉姆(Carsten Eiram)也认为,让用户知道零日漏洞的信息很重要。他在周四的电子邮件中说:“每有一个0天(漏洞)未被披露,系统就面临更大的风险。”“谷歌给其他供应商7天的时间做出回应,发布公告或修复是非常合理的;他们不应该提供更多。”
谷歌有一个相当大的安全研究团队,其成员经常被第三方供应商(包括Adobe和微软等大型供应商)认可,发现了他们产品中的漏洞。
然而,谷歌的新披露建议很可能会被公司自己的安全研究人员遵循,它是否也会被第三方研究人员采用或是否会影响供应商仍有待观察。
“遗憾的是,漏洞管理公司Secunia研究首席的一天内,漏洞管理公司Secunia的首脑并通过电子邮件表示,”Kasper Lindgaard“的事情不会改变。“我们希望所有的供应商都会受到影响,因此他们将继续改善他们的补丁响应时间并接受他们的责任,以确保尽快修补0天的漏洞。”
Lindgaard称谷歌的七天时间框架是“明智的”,该框架针对之前未知的漏洞提出了修复或解决方案,而攻击者正在积极利用该漏洞。
他说:“在7天内用一个经过适当测试而没有回归的贴片做出反应并不总是可能的,但在大多数情况下,如果没有贴片,应该有可能想出变通办法。”“所以,是的,我预计,在大多数情况下,高度关键的0天漏洞,供应商应该能够在7天内产生至少一个工作区。”
像Microsoft,Adobe和Oracle等大型软件供应商,其产品是零日攻击的常见目标,在处理此类事件方面具有经验,并具有允许大多数情况下及时回应的进程。但是,较小的供应商可能更少准备处理零天漏洞并提醒客户。
“我们的政策一直是尽快在野外修复漏洞,”Adobe的公司通信高级经理,通过电子邮件,Heather Edell说。“除非有情节,否则这通常在七天内。”
甲骨文没有立即回复周四发送的评论请求,就谷歌的零天漏洞披露的新推荐时间表。
微软也会在第三方产品中发现漏洞,它遵循一个名为“协调漏洞披露”(CVD)的披露流程。这个过程不使用最后期限,因为微软更喜欢与受影响的供应商协调,直到修复程序发布。
然而,在积极开发或被公开知名的第三方产品中的漏洞的案例中,微软研究人员与受影响的供应商合作,在修复准备就绪之前发布具有潜在缓解和解决方法的咨询。