Project Zero 是 Google 旗下一隊專門發掘各種軟件漏洞的安全團隊,為了加快軟件開發商修補漏洞的速度,以往團隊會給予90日寬限期才公布漏洞內容。而最新公布的「90+30」模式,可說是縮短漏洞「真空期」的良方,下年更會進一步推進至「84+28」模式,到底這組神秘數字有什麼神奇作用?
按此看:挖角成功 Google 安全專家 Brandon Azad 加盟 Apple
漏洞 真空期 破壞力可大可小
成立於2014年的 Google Project Zero ,主要針對發掘各種軟件的零日漏洞(Zero Day Vulnerabilities),即潛藏在軟件內未被發現的漏洞,因此團隊便以Project Zero命名。零日漏洞的嚴重性,在於開發商及網絡安全公司均未察覺漏洞存在,因此如有黑客搶先發現並暗中使用,採用相關軟件的用戶便很容易被入侵。為了縮短漏洞可被利用的 真空期 ,上年初開始 Project Zero 在發現漏洞後會先通知開發商,並給予90日寬限期,如果對方未能在90日推出更新檔修補漏洞,團隊便會將漏洞的技術細節公開,逼使開發商盡早解決問題。
Project Zero團隊認為,如果開發商希望能有更多用戶安裝更新檔,應該會以最快速度推出更新檔,不過過去一年似乎未發現更新檔的推出期有縮短跡象,相信現階段來說 90 日已是紅線,因此 Project Zero 在這政策上再引入 30日 寬限期,只要開發商能在 90 日推出更新檔,團隊會在 30 日後才公開漏洞的技術細節,讓用戶有足夠時間安裝更新檔,減少細節曝光後被利用的風險。
按此看:messenger可被截聽漏洞-facebook發放最高賞金
團隊發言人解釋,上年年初引入的 90 日政策雖然可確保開發商盡早推出更新檔,不過更新檔的推出,並不代表能夠保障用戶,真正的保護只會出現在安裝更新檔後,因此新確立的 「90+30」 模式,才能給予用戶更大的保障。 Project Zero 團隊又表示,「90+30」只是起步,預計下年將會縮短至「84+28」模式,以進一步縮短零日漏洞被利用的可能性。
