谷歌:“零日漏洞” 7 天不修复就公布细节
jopen 11年前
谷歌安全工程师 Chris Evans 和 Drew Hintz 近日在官方博客中表示,如果发现一些软件中的零日漏洞(指厂商还未修复的未知漏洞)被广泛利用,而相关供应商在 7 日内还未修复或采取进一步行动,谷歌将披露这些漏洞的相关细节,让用户自己采取措施。
一直以来,谷歌如果发现一些被利用的零日漏洞,会立即向受影响的供应商报告,并与他们合作,使问题得以尽快解决。谷歌建议企业应该在这些漏洞发现后的 60 天内修复,如果届时没有修复,企业应该告知用户相关的风险,并提供解决办法。
多年来,谷歌已经报告了几十个零日漏洞,其中包括 XML 解析漏洞、通用跨站脚本(XSS)漏洞以及其他一些针对 Web 应用的漏洞。
但谷歌发现,时间太长容易导致更多的系统遭受攻击,因此,谷歌决定将这一时间缩短至 7 天。
谷歌称,7 天时间要求企业更新软件可能太短了,但这些企业完全可以在这个时间内采取一些弥补措施,比如暂停服务、限制访问等。如果 7 天之后这些企业还没有发布任何补丁或建议,谷歌将支持研究者公布相关细节,以便用户可以采取一些措施来保护自己。
很显然,这种措施可以加大企业对安全的重视,但是也有副作用,比如企业在 7 天之内发布了补丁,但用户没有及时更新,公布漏洞细节可能会造成更大范围的危害。
Via 谷歌在线安全团队博客
来自: www.iteye.com