谷歌的戏剧性的转变为七天的宽限期在主动披露被利用的零日漏洞之前,安全专家们对其褒贬不一。
[也:15个免费的安全工具,你应该试试]
安全工程师克里斯·埃文斯和德鲁·欣茨周三在谷歌在线安全博客上说,该公司正在取消之前的60天窗口期.
工程师们说:“之所以指定这个特殊的名称,是因为每天都有一个被积极利用的漏洞未向公众公开,也没有打补丁,就会有更多的电脑受到攻击。”
谷歌承认,对于一些供应商来说,修补他们的产品的时间可能太短了,但他相信,企业至少可以发布关于客户如何保护自己的建议。在开发永久性修复程序时,其他选项包括禁用有缺陷的服务或限制访问。
Evans和Hintz在博客中说:“在七天没有补丁或建议的情况下,我们将支持研究人员提供详细信息,这样用户就可以采取措施保护自己。”
专家们对这项新政策意见不一。尽管一些人表示,这一时间表已经足够,并希望它能迫使供应商加快行动,但其他人表示,这一举措过于严厉,忽视了修复漏洞的现实。
“这是一个非常、非常危险且不恰当的地毯式政策,”应用安全测试机构NSS实验室的研究主管兰迪·艾布拉姆斯(Randy Abrams)说。“软件非常非常复杂,在大多数情况下,七天的时间是不够的。”
艾布拉姆斯说,另一种选择是将期限减半至30天,然后根据具体情况决定7天期限是否更合适。尽管谷歌表示将坚持同样的标准,但他怀疑情况是否如此。
[也看到:补丁后的第一天,Java零日卖给出价最高的人]
艾布拉姆斯说:“我认为,如果某些东西不方便,他们会重新定义它是否是一个关键的弱点。”
尽管承认时间很紧,但其他专家认为,供应商至少应该告诉客户,网络罪犯正在攻击一个之前未知的漏洞。提前披露的理由是,如果坏人已经知道这个漏洞,为什么客户就不应该知道。
弗雷斯特研究公司(Forrester Research)的分析师里克·霍兰德(Rick Holland)说,“我几乎认为,一旦一家公司意识到有什么事情需要告知客户,这应该是一种受托责任。”
Holland表示,更短的宽限期意味着使用有缺陷软件的公司可以更快地采取措施检查系统是否感染病毒,并阻止攻击者。
专注于工业控制系统安全的IOActive公司的首席技术官Gunter Ollmann认为谷歌是不诚实的基于网络的服务提供商在美国,它可以比软件供应商更快地修复其数据中心的漏洞。雷竞技电脑网站
奥尔曼在一份电子邮件声明中表示:“如果有什么不同的话,我希望谷歌能够采取更积极的行动,在零日搜索进行时,屏蔽恶意内容,或将其从搜索结果中删除。”“这将更有成效,并对弱势用户/目标产生有意义的影响。”
专家们一致认为,无论规模大小,大多数公司都不太可能在7天内推出补丁。但Qualys的首席技术官Wolfgang Kandek认为,最后期限可以很容易地达到,因为谷歌只要求咨询,至少“只要供应商清除了所有的管理障碍,比如法律语言、格式、出版策略等。”
“我认为这是朝着正确方向迈出的一步,”Kandek谈到谷歌的新政策时说。
网络犯罪分子一直在寻找并利用零日漏洞以令人不安的速度霍兰德说,所以供应商必须更快地做出反应。
霍兰德说:“安全行业必须做出一些改变,以防止我们的(公司)标识本周受到攻击。”“在我们这个行业工作有时会让人很沮丧,因为它一直都是悲观的。”
“毫无疑问,这是一个大胆的改变,”他说。
这篇报道,“谷歌零日披露变更受到猛烈抨击,受到好评”,最初是由方案 .