Google正在针对安全漏洞推行新的“积极”反应时间期限,供应商将会有七天的时间修补漏洞、通知公众或停止运行受感染的产品。
如果研究人员发现正被实际攻击利用而以前未曾发觉的严重漏洞,他们将得到Google的准许,在向受影响的供应商进行通报七天后公布问题的细节。
“七天是一个积极的时间期限,对一些供应商更新产品来说也许太短了,但是这段时间足够公布可能减轻影响的建议,比如临时性地禁用某项服务、限制访问或与供应商联系寻求更多的信息。”Google的安全工程师Chris Evans和Drew Hintz写道。
Google在周三宣布了新的推荐“积极时间期限”,此举将大幅缩短现行为期60天的推荐披露时间。
Google推出该举措前不久,Google安全研究人员Tavis Ormandy在Full Disclosure发布了零日Windows核心漏洞,攻击者可以利用该漏洞获得目标机器上升级的特权。
当时微软承认了该漏洞,但是对Computerworld说,该公司尚未发现任何利用该漏洞对其用户发动的攻击。该漏洞还没有补丁或替代办法。丹麦安全公司Secunia发布了针对这一漏洞的基本公告,据说该漏洞已经感染了安装全部补丁的Windows7 X86 专业版、Windows8,也许还有该操作系统的其他版本。
Google并没有说新的推荐反应时间是针对这个特定的漏洞,Evans和Hintz两位安全工程师指出,他们的团队“最近发现攻击者正在活跃地以一个前所未知和没有补丁的软件漏洞作为攻击目标,该软件属于另外一家公司。”
对一些供应商来说,七天的反应期限也许难以达到,Google工程师坚称,这是一个必要的措施以对有目标的攻击威胁做出反应,。
“通常,我们发现零日漏洞被用来锁定有限的人群范围。在很多情况中,比起一般宽泛的攻击,这种针对性攻击的更为严重,快速解决的急迫性更强。政治活动分子经常成为目标,被攻击的后果能在世界上造成真正的安全问题。”Google的安全团队说道。
“但是,根据我们的经验,我们相信更紧迫的行动——在七天之内——对于成为活跃攻击目标的严重漏洞来说是合适的。这一特殊设计的原因是,一个活跃的被利用的漏洞一直不为公众所知并缺乏相应补丁的话,会危及更多的电脑。”