漏洞披露一直是軟件安全領(lǐng)域的一個難題，而最近這一頑疾又引發(fā)了微軟與Google的爭論。上周日，Google公布了Win 8.1中存在的漏洞，而早在十月Google就曾向微軟報告了這一漏洞，90余天過去，面對微軟的無作為，Google公布了這一事實。

微軟稱本打算于周二補丁日更新安全補丁，Google提前公布漏洞無疑將用戶安全暴露在黑客攻擊的危險之中。微軟安全響應中心的高級總監(jiān)Chris Betz發(fā)表了一篇長文，呼吁在漏洞披露方面雙方理應達成一致，不能輕易將用戶安全置之度外。

如何披露漏洞是個問題

自2010年起，微軟就在推行協(xié)調(diào)漏洞披露（CVD），但安全社區(qū)一直沒對漏洞披露達成一致。極端的一方提倡完全披露，將漏洞詳細記錄在文件中，公布于眾，這樣便于向開發(fā)商施壓，迫使他們盡早解決問題。早先，漏洞發(fā)布之前軟件開發(fā)商都不知情，不過一些研究人員也保證在公布漏洞之前首先與開發(fā)商溝通。

像微軟這樣的開發(fā)商傾向另一個解決方案，即“責任漏洞披露”。在這項協(xié)議之下，安全漏洞在發(fā)現(xiàn)之后必須首先秘密告知開發(fā)商，并且在漏洞修復和補丁發(fā)布之前，不能公布漏洞的細節(jié)，以保證用戶安全。

 “責任漏洞披露”這個名字本來就有問題（其隱義就是任何其他披露從本質(zhì)上講都是不負責任的） ，因此微軟打算重新更名為CVD，其與“責任漏洞披露”的方式差不多，只是當惡意團體利用秘密公布的漏洞攻擊用戶，或軟件開發(fā)商無動于衷時，允許在發(fā)現(xiàn)漏洞一方在補丁發(fā)布前向公眾披露漏洞。

在這一問題上，Google傾向于完全披露。自漏洞發(fā)現(xiàn)之后，Google為開發(fā)商設(shè)定90天的時間期限，在這期間開發(fā)商必須發(fā)布修復補丁，逾期將向公眾公布漏洞。在此次事件中，Google也是這樣做的，而不巧的是，它恰巧發(fā)生在微軟補丁發(fā)布前夕，從而引起微軟的譴責。

取得平衡

Google的強硬立場被證明是正確的。在惠普入侵防御系統(tǒng)TippingPoint的“零日計劃”（Zero Day Initiative）的一項名單中，列舉了一系列被公布數(shù)百日卻仍未被解決的安全漏洞，其中就包括數(shù)個微軟的漏洞。開發(fā)商對漏洞無動于衷，遲遲不采取手段，這種拖延將終端用戶置于黑客入侵危險中。

即使漏洞沒有修復，了解漏洞細節(jié)仍可以減少病毒植入的幾率，保護用戶安全。面對惡意入侵，即使是有限的保護措施也可以避免損失。

這樣，Google的最后期限在供應商和用戶的權(quán)益之間提供了一種平衡。Google堅持在最后期限發(fā)布了聲明——還沒接到微軟已經(jīng)開發(fā)好補丁的通知，也沒有被告知最后期限之后的幾天才能發(fā)布補丁。

Google與微軟的倔強

雙方在這個局面中似乎都很倔強。

• 一方面，Google完全武斷地決定了一個最后期限并堅守它。如果放寬一點，那90天還是92天本質(zhì)上是沒有區(qū)別的。Google為什么不能晚幾天發(fā)布這個聲明，好像也沒有一個合理的解釋。

• 另一方面，微軟也是很頑固。微軟有補丁文件，已經(jīng)開發(fā)并測試好了，就差發(fā)布了。然而它選擇不發(fā)布——為了符合公司周二補丁日的時間表。周二補丁日的政策非常受IT部門歡迎，因為這樣他們維護和重啟的時間表就非常規(guī)則，但這規(guī)定也有點死板。

微軟偶爾也沒有按照時間表發(fā)布安全更新（一般是在有大范圍傳播的非常明顯的漏洞時），這次不這樣做似乎也沒有非常合理的解釋。

受傷的總是用戶

這不是新的較量，微軟和Google的立場都很堅定。微軟的抱怨似乎沒有影響到Google的任何人，而Google的行為似乎也沒有促使微軟更快的行動。雙方都非常頑固，而且任何一方都沒有把消費者的利益擺在首位。

從長期來看，這樣的討論還是有益的。不可避免地，類似的狀況仍然會再次發(fā)生，如果兩方公司仍各持己見，用戶的利益將再次陷入困境。Google對微軟的用戶沒有任何責任，但是微軟的責任卻不可逃脫。在處理Google披露的漏洞方面，微軟必須展現(xiàn)出更大的靈活性，即使這會對其IT部門造成很多不便。他們應該明白用戶顯然要重要得多。

鑒于國家支持的黑客行為與政府對 “零日攻擊”的利用不斷增加，即使周二補丁日這項措施也日益受到詬病。周二補丁日的假設(shè)為：如果微軟沒有看到利用此漏洞的攻擊出現(xiàn)，那么也許它沒被其他惡意組織發(fā)現(xiàn)。因此，可以推遲補丁發(fā)布，直到等到一個合適的時機。

這假定微軟知道漏洞何時會被惡意利用，但被高級的、政府支持的黑客攻擊的用戶，也許對于受到攻擊一事并不知情，因此不會向微軟報告這些問題。

因此，另一種情況更應該被重視。當這個假設(shè)發(fā)生變化，漏洞隨時都有被利用的危險的情況下，盡快做出修復而不是等待適時的“星期二”才是明智之舉。

via arstechnica

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。