扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在星期三的黑帽大会上,奥多比将宣布效仿微软模式对安全信息进行共享。这样,在发布安全更新之前,它会先与安全公司分享自己软件在安全方面存在弱点的相关信息。
微软是在2008年启动主动防御计划(MAPP)的,此后,在发表产品安全更新前,微软就会与安全公司分享相关的漏洞信息,让它们可以及时更新安全产品,并提前防范这些安全漏洞,以保证客户的安全。
微软表示,MAPP计划大大降低了安全漏洞的空窗期,在某些情况下,漏洞的存在时间甚至减少了75%以上。奥多比公司产品安全和隐私总监布拉德·阿金在21日告诉CNET,这一成功促使奥多比计划从今年秋天的某个时候开始加入该项目。
阿金说,“这让我们可以与微软一起进行协同工作,而不必象以前那样另起炉灶做很多额外的工作。”和微软一样,奥多比将与相同的MAPP合作伙伴分享信息,采用的格式和基础设施也将是完全一致的。
与此同时,在这星期,微软也将发布一个工具包,用来使旧版本的Windows和第三方应用程序可以受到为基于Windows计算机设计的专门技术的保护,避免遭遇攻击。这里的专门技术指的是,新版本Windows支持的地址空间随机化(ASLR)和数据执行保护(DEP)。
微软安全响应中心主任迈克·雷维宣称,新的增强减灾体验工具可以让旧版本Windows和非Microsoft软件开发者利用到这些技术带来的优势。
此外,微软正在促进将安全漏洞方面的处理策略调整为“协调的漏洞披露”,既不再是“负责任的披露”(仅仅通知受影响的软件供应商),也不是“充分披露”(立即通知所有人)。软件巨人开始鼓励研究人员在漏洞传播开之前与公司进行合作。
在经过激烈的公开辩论后,谷歌研究员塔维斯·奥曼迪于6月公开披露了Windows中的一个漏洞,并在微软有机会开发修补程序之前,发布了针对该漏洞的概念验证代码。奥曼迪为他的行动辩护说,只有引起微软的注意才能解决这一问题,并且,其他研究人员也表示了支持。在漏洞被披露的几天后,已经检测到试图针对该漏洞的恶意攻击。
在上星期,一篇由奥曼迪等人签署的文章发表在谷歌安全团队的日志上。他们指出,厂商往往利用“负责任”的披露来延缓漏洞的修补。并且表示,对于厂商修补安全漏洞的时间限制来说,60天是一个合理的期限。
“我们将邀请其它研究人员加入这一活动,利用提出的披露期限,让安全响应速度变得更快,”谷歌团队呼吁道。“定时修补带来的压力可以让黑客利用漏洞的机会变得更少。我们认为,规则的这一小小调整,可以为全体互联网用户带来更大的安全。”
根据这篇日志的说法,微软策略的变化和它以前所提倡的“负责任的”揭露并无多大区别。
“对于产品的漏洞修复来说,我并不认为存在一个(适合于所有类型的)固定期限,”雷维告诉CNET。“最重要的一点应该是确保安全更新对于客户是有效的....并承担责任。用户希望供应商和研究人员可以共同努力。”
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者