Google正在針對安全漏洞推行新的“積極”反應時間期限,供應商將會有七天的時間修補漏洞、通知公眾或停止運行受感染的產品。
如果研究人員發現正被實際攻擊利用而以前未曾發覺的嚴重漏洞,他們將得到Google的準許,在向受影響的供應商進行通報七天后公布問題的細節。
“七天是一個積極的時間期限,對一些供應商更新產品來說也許太短了,但是這段時間足夠公布可能減輕影響的建議,比如臨時性地禁用某項服務、限制訪問或與供應商聯系尋求更多的信息。”Google的安全工程師Chris Evans和Drew Hintz寫道。
Google在周三宣布了新的推薦“積極時間期限”,此舉將大幅縮短現行為期60天的推薦披露時間。
Google推出該舉措前不久,Google安全研究人員Tavis Ormandy在Full Disclosure發布了零日Windows核心漏洞,攻擊者可以利用該漏洞獲得目標機器上升級的特權。
當時微軟承認了該漏洞,但是對Computerworld說,該公司尚未發現任何利用該漏洞對其用戶發動的攻擊。該漏洞還沒有補丁或替代辦法。丹麥安全公司Secunia發布了針對這一漏洞的基本公告,據說該漏洞已經感染了安裝全部補丁的Windows7 X86 專業版、Windows8,也許還有該操作系統的其他版本。
Google并沒有說新的推薦反應時間是針對這個特定的漏洞,Evans和Hintz兩位安全工程師指出,他們的團隊“最近發現攻擊者正在活躍地以一個前所未知和沒有補丁的軟件漏洞作為攻擊目標,該軟件屬于另外一家公司。”
對一些供應商來說,七天的反應期限也許難以達到,Google工程師堅稱,這是一個必要的措施以對有目標的攻擊威脅做出反應,。
“通常,我們發現零日漏洞被用來鎖定有限的人群范圍。在很多情況中,比起一般寬泛的攻擊,這種針對性攻擊的更為嚴重,快速解決的急迫性更強。政治活動分子經常成為目標,被攻擊的后果能在世界上造成真正的安全問題。”Google的安全團隊說道。
“但是,根據我們的經驗,我們相信更緊迫的行動——在七天之內——對于成為活躍攻擊目標的嚴重漏洞來說是合適的。這一特殊設計的原因是,一個活躍的被利用的漏洞一直不為公眾所知并缺乏相應補丁的話,會危及更多的電腦。”
京公網安備 11010502049343號