在五月底,兩個Google安全工程師宣布來自Google總部關於零時差漏洞和揭露的新政策。他們強烈建議,已經出現在外的零時差漏洞資訊,廠商應該要在被通知後不超過七天內公布出來。理想狀況下,公告或修補程式都應該由廠商提供,但他們也表示,如果廠商沒有動作,研究人員應該要自己公布詳細的資訊。
這是個非常積極的作法。以微軟為例,對於重要修補程式並沒有設定公布期限:這需要在品質和時效性間尋求一個平衡點。要平衡這兩者並不容易。一方面,仍在活躍中的可攻擊漏洞會讓惡意軟體作者知道廠商的漏洞。另一方面,快速推出的修補程式可能會對應用程式和整體系統有負面影響,讓其更加脆弱。
幾乎每個安全廠商都曾經因為不小心而出現誤報。我們有許多的安全措施,像是白名單比對,但總是會有莫非定律。讓我們的產業因此影響了使用者的電腦。作業系統廠商在進行修補時要更加小心。他們需要有適當的品質保證,因為修補程式將會影響到數百萬台的電腦。
在我看來,七天後揭露的作法是合理而可行的,但期待在這時間內推出修補程式就不合理了。讓我們來看看Google本身會怎麼做。目前,有一個Google Android木馬程式正在擴散,它可以在「設備管理程式」中隱藏自己,讓安全軟體無法看到或試圖去清除它。這有可能是因為Android內的一個安全漏洞造成。Google可以在七天內解決這個問題嗎?讓我們拭目以待…
