Google正在針對(duì)安全漏洞推行新的“積極”反應(yīng)時(shí)間期限��,供應(yīng)商將會(huì)有七天的時(shí)間修補(bǔ)漏洞、通知公眾或停止運(yùn)行受感染的產(chǎn)品��。
如果研究人員發(fā)現(xiàn)正被實(shí)際攻擊利用而以前未曾發(fā)覺(jué)的嚴(yán)重漏洞�����,他們將得到Google的準(zhǔn)許�,在向受影響的供應(yīng)商進(jìn)行通報(bào)七天后公布問(wèn)題的細(xì)節(jié)。
“七天是一個(gè)積極的時(shí)間期限����,對(duì)一些供應(yīng)商更新產(chǎn)品來(lái)說(shuō)也許太短了,但是這段時(shí)間足夠公布可能減輕影響的建議���,比如臨時(shí)性地禁用某項(xiàng)服務(wù)��、限制訪問(wèn)或與供應(yīng)商聯(lián)系尋求更多的信息�����。”Google的安全工程師Chris Evans和Drew Hintz寫(xiě)道�����。
Google在周三宣布了新的推薦“積極時(shí)間期限”�,此舉將大幅縮短現(xiàn)行為期60天的推薦披露時(shí)間。
Google推出該舉措前不久�����,Google安全研究人員Tavis Ormandy在Full Disclosure發(fā)布了零日Windows核心漏洞�,攻擊者可以利用該漏洞獲得目標(biāo)機(jī)器上升級(jí)的特權(quán)。
當(dāng)時(shí)微軟承認(rèn)了該漏洞����,但是對(duì)Computerworld說(shuō),該公司尚未發(fā)現(xiàn)任何利用該漏洞對(duì)其用戶(hù)發(fā)動(dòng)的攻擊���。該漏洞還沒(méi)有補(bǔ)丁或替代辦法���。丹麥安全公司Secunia發(fā)布了針對(duì)這一漏洞的基本公告,據(jù)說(shuō)該漏洞已經(jīng)感染了安裝全部補(bǔ)丁的Windows7 X86 專(zhuān)業(yè)版�����、Windows8�,也許還有該操作系統(tǒng)的其他版本。
Google并沒(méi)有說(shuō)新的推薦反應(yīng)時(shí)間是針對(duì)這個(gè)特定的漏洞�����,Evans和Hintz兩位安全工程師指出��,他們的團(tuán)隊(duì)“最近發(fā)現(xiàn)攻擊者正在活躍地以一個(gè)前所未知和沒(méi)有補(bǔ)丁的軟件漏洞作為攻擊目標(biāo)����,該軟件屬于另外一家公司。”
對(duì)一些供應(yīng)商來(lái)說(shuō)����,七天的反應(yīng)期限也許難以達(dá)到�,Google工程師堅(jiān)稱(chēng)�,這是一個(gè)必要的措施以對(duì)有目標(biāo)的攻擊威脅做出反應(yīng)�,�����。
“通常��,我們發(fā)現(xiàn)零日漏洞被用來(lái)鎖定有限的人群范圍��。在很多情況中����,比起一般寬泛的攻擊�����,這種針對(duì)性攻擊的更為嚴(yán)重,快速解決的急迫性更強(qiáng)�。政治活動(dòng)分子經(jīng)常成為目標(biāo),被攻擊的后果能在世界上造成真正的安全問(wèn)題����。”Google的安全團(tuán)隊(duì)說(shuō)道。
“但是����,根據(jù)我們的經(jīng)驗(yàn),我們相信更緊迫的行動(dòng)——在七天之內(nèi)——對(duì)于成為活躍攻擊目標(biāo)的嚴(yán)重漏洞來(lái)說(shuō)是合適的���。這一特殊設(shè)計(jì)的原因是�,一個(gè)活躍的被利用的漏洞一直不為公眾所知并缺乏相應(yīng)補(bǔ)丁的話(huà)���,會(huì)危及更多的電腦�。”
