Google正在針對安全漏洞推行新的“積極”反應(yīng)時(shí)間期限���,供應(yīng)商將會有七天的時(shí)間修補(bǔ)漏洞��、通知公眾或停止運(yùn)行受感染的產(chǎn)品���。
如果研究人員發(fā)現(xiàn)正被實(shí)際攻擊利用而以前未曾發(fā)覺的嚴(yán)重漏洞�,他們將得到Google的準(zhǔn)許�,在向受影響的供應(yīng)商進(jìn)行通報(bào)七天后公布問題的細(xì)節(jié)。
“七天是一個(gè)積極的時(shí)間期限����,對一些供應(yīng)商更新產(chǎn)品來說也許太短了,但是這段時(shí)間足夠公布可能減輕影響的建議��,比如臨時(shí)性地禁用某項(xiàng)服務(wù)�����、限制訪問或與供應(yīng)商聯(lián)系尋求更多的信息�。”Google的安全工程師Chris Evans和Drew Hintz寫道。
Google在周三宣布了新的推薦“積極時(shí)間期限”��,此舉將大幅縮短現(xiàn)行為期60天的推薦披露時(shí)間���。
Google推出該舉措前不久��,Google安全研究人員Tavis Ormandy在Full Disclosure發(fā)布了零日Windows核心漏洞�����,攻擊者可以利用該漏洞獲得目標(biāo)機(jī)器上升級的特權(quán)����。
當(dāng)時(shí)微軟承認(rèn)了該漏洞,但是對Computerworld說�,該公司尚未發(fā)現(xiàn)任何利用該漏洞對其用戶發(fā)動的攻擊。該漏洞還沒有補(bǔ)丁或替代辦法�����。丹麥安全公司Secunia發(fā)布了針對這一漏洞的基本公告��,據(jù)說該漏洞已經(jīng)感染了安裝全部補(bǔ)丁的Windows7 X86 專業(yè)版�����、Windows8����,也許還有該操作系統(tǒng)的其他版本。
Google并沒有說新的推薦反應(yīng)時(shí)間是針對這個(gè)特定的漏洞���,Evans和Hintz兩位安全工程師指出,他們的團(tuán)隊(duì)“最近發(fā)現(xiàn)攻擊者正在活躍地以一個(gè)前所未知和沒有補(bǔ)丁的軟件漏洞作為攻擊目標(biāo)���,該軟件屬于另外一家公司�����。”
對一些供應(yīng)商來說��,七天的反應(yīng)期限也許難以達(dá)到�����,Google工程師堅(jiān)稱����,這是一個(gè)必要的措施以對有目標(biāo)的攻擊威脅做出反應(yīng),���。
“通常����,我們發(fā)現(xiàn)零日漏洞被用來鎖定有限的人群范圍�。在很多情況中,比起一般寬泛的攻擊��,這種針對性攻擊的更為嚴(yán)重����,快速解決的急迫性更強(qiáng)���。政治活動分子經(jīng)常成為目標(biāo),被攻擊的后果能在世界上造成真正的安全問題���。”Google的安全團(tuán)隊(duì)說道��。
“但是�����,根據(jù)我們的經(jīng)驗(yàn)�����,我們相信更緊迫的行動——在七天之內(nèi)——對于成為活躍攻擊目標(biāo)的嚴(yán)重漏洞來說是合適的���。這一特殊設(shè)計(jì)的原因是,一個(gè)活躍的被利用的漏洞一直不為公眾所知并缺乏相應(yīng)補(bǔ)丁的話��,會危及更多的電腦�����。”
