Linux.中国 - 开源社区

 找回密码
 骑士注册

QQ登录

微博登录


Google与微软的倔强总是伤害用户

漏洞披露一直是软件安全领域的一个难题,而最近这一顽疾又引发了微软与Google的争论。上周日,Google公布了Win 8.1中存在的漏洞,而早在十月Google就曾向微软报告了这一漏洞,90余天过去,面对微软的无作为,Google公布了这一事实。

微软称本打算于周二补丁日更新安全补丁,Google提前公布漏洞无疑将用户安全暴露在黑客攻击的危险之中。微软安全响应中心的高级总监Chris Betz发表了一篇长文,呼吁在漏洞披露方面双方理应达成一致,不能轻易将用户安全置之度外。

如何披露漏洞是个问题

自2010年起,微软就在推行协调漏洞披露(CVD),但安全社区一直没对漏洞披露达成一致。极端的一方提倡完全披露,将漏洞详细记录在文件中,公布于众,这样便于向开发商施压,迫使他们尽早解决问题。早先,漏洞发布之前软件开发商都不知情,不过一些研究人员也保证在公布漏洞之前首先与开发商沟通。

像微软这样的开发商倾向另一个解决方案,即“责任漏洞披露”。在这项协议之下,安全漏洞在发现之后必须首先秘密告知开发商,并且在漏洞修复和补丁发布之前,不能公布漏洞的细节,以保证用户安全。

 “责任漏洞披露”这个名字本来就有问题(其隐义就是任何其他披露从本质上讲都是不负责任的) ,因此微软打算重新更名为CVD,其与“责任漏洞披露”的方式差不多,只是当恶意团体利用秘密公布的漏洞攻击用户,或软件开发商无动于衷时,允许在发现漏洞一方在补丁发布前向公众披露漏洞。

在这一问题上,Google倾向于完全披露。自漏洞发现之后,Google为开发商设定90天的时间期限,在这期间开发商必须发布修复补丁,逾期将向公众公布漏洞。在此次事件中,Google也是这样做的,而不巧的是,它恰巧发生在微软补丁发布前夕,从而引起微软的谴责。

取得平衡

Google的强硬立场被证明是正确的。在惠普入侵防御系统TippingPoint的“零日计划”(Zero Day Initiative)的一项名单中,列举了一系列被公布数百日却仍未被解决的安全漏洞,其中就包括数个微软的漏洞。开发商对漏洞无动于衷,迟迟不采取手段,这种拖延将终端用户置于黑客入侵危险中。

即使漏洞没有修复,了解漏洞细节仍可以减少病毒植入的几率,保护用户安全。面对恶意入侵,即使是有限的保护措施也可以避免损失。

这样,Google的最后期限在供应商和用户的权益之间提供了一种平衡。Google坚持在最后期限发布了声明——还没接到微软已经开发好补丁的通知,也没有被告知最后期限之后的几天才能发布补丁。

Google与微软的倔强

双方在这个局面中似乎都很倔强。

  • 一方面,Google完全武断地决定了一个最后期限并坚守它。如果放宽一点,那90天还是92天本质上是没有区别的。Google为什么不能晚几天发布这个声明,好像也没有一个合理的解释。

  • 另一方面,微软也是很顽固。微软有补丁文件,已经开发并测试好了,就差发布了。然而它选择不发布——为了符合公司周二补丁日的时间表。周二补丁日的政策非常受IT部门欢迎,因为这样他们维护和重启的时间表就非常规则,但这规定也有点死板。

微软偶尔也没有按照时间表发布安全更新(一般是在有大范围传播的非常明显的漏洞时),这次不这样做似乎也没有非常合理的解释。

受伤的总是用户

这不是新的较量,微软和Google的立场都很坚定。微软的抱怨似乎没有影响到Google的任何人,而Google的行为似乎也没有促使微软更快的行动。双方都非常顽固,而且任何一方都没有把消费者的利益摆在首位。

从长期来看,这样的讨论还是有益的。不可避免地,类似的状况仍然会再次发生,如果两方公司仍各持己见,用户的利益将再次陷入困境。Google对微软的用户没有任何责任,但是微软的责任却不可逃脱。在处理Google披露的漏洞方面,微软必须展现出更大的灵活性,即使这会对其IT部门造成很多不便。他们应该明白用户显然要重要得多。

鉴于国家支持的黑客行为与政府对 “零日攻击”的利用不断增加,即使周二补丁日这项措施也日益受到诟病。周二补丁日的假设为:如果微软没有看到利用此漏洞的攻击出现,那么也许它没被其他恶意组织发现。因此,可以推迟补丁发布,直到等到一个合适的时机。

这假定微软知道漏洞何时会被恶意利用,但被高级的、政府支持的黑客攻击的用户,也许对于受到攻击一事并不知情,因此不会向微软报告这些问题。

因此,另一种情况更应该被重视。当这个假设发生变化,漏洞随时都有被利用的危险的情况下,尽快做出修复而不是等待适时的“星期二”才是明智之举。

发表评论


最新评论

我也要发表评论

erasin 2015-1-16 14:01
坚守自己的原则才是最为准确的做法。两家的都没有错误,错的是用户选错了服务商。
回复
誓言 2015-1-15 16:44
任性
回复
来自 - 浙江杭州 的 Chrome/Linux 用户 2015-1-15 09:46
我觉得,微软也不对。 他应该向google提交自己的发布计划,google不是只跟踪微软的bug,如果每一家都逐一沟通反馈,基本上别的事情也就干不了了
1 回复
京葛 2015-1-15 07:03  新浪微博网友评论
昨晚更新了。不知是不是
回复
linux 2015-1-14 23:13
1
绿色圣光 发表于 2015-1-14 19:53 的评论:
哈哈!都很任性!
因为都很有钱·~
回复
论极语易 2015-1-14 22:03  新浪微博网友评论
何必呢。。
回复
来自 - 广西来宾 的 Chrome/Windows 用户 2015-1-14 20:56
还90天,应该第一时间就发出来!
4 回复
-博言 2015-1-14 20:33  新浪微博网友评论
任性[doge][doge][doge]
回复
w1441916133 2015-1-14 20:03  新浪微博网友评论
因为人家还要大家伙升级win10赚钱啊,懂不懂,懂不懂,懂不懂[哈哈]
5 回复
limboOoOoOo 2015-1-14 20:03  新浪微博网友评论
[doge][doge][doge]
回复
绿色圣光 2015-1-14 19:53
哈哈!都很任性!
4 回复

热点评论

w1441916133 2015-1-14 20:03
因为人家还要大家伙升级win10赚钱啊,懂不懂,懂不懂,懂不懂[哈哈]
5
绿色圣光 2015-1-14 19:53
哈哈!都很任性!
4
来自 - 广西来宾 的 Chrome/Windows 用户 2015-1-14 20:56
还90天,应该第一时间就发出来!
4
来自 - 浙江杭州 的 Chrome/Linux 用户 2015-1-15 09:46
我觉得,微软也不对。 他应该向google提交自己的发布计划,google不是只跟踪微软的bug,如果每一家都逐一沟通反馈,基本上别的事情也就干不了了
1
返回顶部

分享到微信朋友圈

打开微信,点击底部的“发现”,
使用“扫一扫”将网页分享至朋友圈。