微軟將漏洞披露方式由負責調整為協調
微軟日前宣布,將對此前“負責任的漏洞披露(Responsible Disclosure)”方式進行調整,采用新的漏洞披露方式,從而能夠對零日漏洞提供更加協調一致的響應。
這一新的漏洞披露方式被稱為“協調的漏洞披露(Coordinated Vulnerability Disclosure,CVD)”,與微軟負責任的漏洞披露政策相比變化不大。CVD政策將敦促安全研究人員向軟件供應商或美國計算機應急準備小組報告發現的安全漏洞。根據CVD政策的規定,軟件供應商和安全研究人員將會就漏洞修復期限達成一致。微軟負責可信計算安全業務的總經理Matt Thomlinson在微軟安全響應中心的博客中表示,公司將努力使漏洞披露過程盡可能的透明。
Thomlinson指出,“責任當然依舊重要,但這應該是由安全研究人員、安全產品供應商和其他軟件供應商組成的整個社區的共同責任。在提高計算生態系統的總體安全性方面,安全社區的每個成員都應發揮自己的作用。”
不久前,谷歌的安全研究人員Tavis Ormandy公開披露了Windows XP中存在的零日漏洞,并發布了針對該漏洞的概念驗證代碼。隨后,微軟宣布了這一新的漏洞披露方式。幾天前,微軟發表聲明警告說,其已經檢測到試圖針對該漏洞的惡意攻擊。
Thomlinson表示,微軟和其他軟件制造商有責任與報告該漏洞的安全研究人員進行溝通。軟件制造商承諾將提供及時更新并確定預定解決日期。另外,Thomlinson還指出,遵守這一新的漏洞披露政策的安全研究人員可以提前發布包含有限細節的安全公告,但不應該提供概念驗證代碼。
Thomlinson在博客中寫到,“軟件供應商和漏洞發現者需要密切協作以修復漏洞;應該進行廣泛的努力,以及時對安全漏洞做出響應;一旦主動攻擊被公開披露,最好的對策應該是集中力量減少攻擊帶來的危害和提出暫時性解決方案——即使那樣,軟件供應商和漏洞發現者仍然應該盡可能地協調一致。”
安全研究人員如是說
盡管微軟新的漏洞披露方式獲得了一些專家的支持,但也有研究人員聲稱,新政策不會對漏洞報告方式產生太大影響。
漏洞管理公司Rapid7的首席安全官、安全漏洞檢測工具Metasploit的滲透測試框架總設計師、安全研究社區的長期擁護者H.D. Moore認為,微軟的聲明不過是“試圖控制關于負責任的漏洞披露的爭論”。Moore指出,微軟新的漏洞披露政策仍然沒有什么效力。漏洞發現者最終有權決定是公開披露一個漏洞,還是悄悄將其報告給軟件供應商。
Moore表示,“微軟值得稱道的地方在于其承認漏洞的存在,但在及時修復漏洞方面做的還不夠好。微軟似乎并未承認供應商不遵守這些規定。而供應商從來都沒有遵守過這些規定。”
Moore強調,軟件供應商保持對漏洞披露的控制的唯一合法途徑是,與安全研究人員簽訂合同,通過某種形式的獎勵計劃向漏洞發現者支付獎金。
在一篇詳細介紹這一新的漏洞披露方式的博文中,微軟安全響應中心生態系統策略團隊的資深安全策略專家Katie Moussouris列出了一些支持這一理念變化的安全專家的評論。Moussouris指出,這一漏洞披露方式的改變是“對‘負責任的漏洞披露’的修正,為微軟和安全研究人員密切協作提供了一種預期和過程。即使在漏洞披露理念未能完全同步變化的情況下,各方在討論漏洞披露時也不必因使用一個容易讓人誤解的術語而產生歧義。”
非營利性信息安全公共組織Open Security Foundation的總裁、安全監控產品供應商Tenable Network Security的Nessus安全漏洞掃描器專家Brian Martin表示,微軟新的漏洞披露方式試圖在一定程度上解決與“負責任的漏洞披露”有關的極端問題,并使其內部政策更加透明。
Martin說,“關于負責任的漏洞披露的爭論由來已久,并可能繼續持續下去。我認為,這一漏洞披露方式的改變并不意味著微軟希望控制所有的漏洞披露途徑,而是表明微軟將如何處理漏洞披露和修復問題。”
獨立安全研究人員Dino Dai Zovi也對微軟這一漏洞披露方式的改變表示支持,并稱“負責任的漏洞披露”是一個有歧義的術語。微軟可能通過采取更加明確的漏洞修復期限或為漏洞發現者提供獎金等方式,進一步推動這一漏洞披露方式的進展。
Dai Zovi說,“這決不意味著微軟嚴格定義的安全漏洞披露方式是不負責任的。微軟在安全漏洞方面所做的其他調整也具有積極意義,但在對安全研究人員友好性方面的政策還遠遠不如谷歌和Mozilla。”
Mozilla為發現其軟件中存在漏洞的研究人員提供最多達3000美元的獎金。谷歌不但為發現其Chrome瀏覽器中存在漏洞的研究人員提供最多達3133美元的獎金,同時承諾在60天內修復漏洞。通過這些更為靈活的方式,谷歌和Mozilla主動邀請研究人員向其報告漏洞。
安全評估機構Independent Security Evaluators的研究人員Charlie Miller認為,微軟的聲明是一個可喜的變化,但還有一些問題沒有解決。例如,“微軟為什么不像谷歌和Mozilla那樣向漏洞發現者支付獎金?難道微軟認為其產品安全性的價值還抵不上支付給報告嚴重安全漏洞的研究人員的獎金?另外,為什么微軟在發現安全漏洞時不能承諾60天內完成修復?”
Miller在接受電話采訪時表示,通過與安全研究人員簽訂合同并向直接報告漏洞者支付獎金,谷歌和Mozilla在一定程度上獲得了對漏洞披露的控制。他說,“對我來說,由于我已經具有一定的知名度,在漏洞報告中署上我的名字沒有任何用處。因此,我可不愿花幾個星期的時間尋找并向微軟報告漏洞。”
【編輯推薦】
