科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全Adobe效仿微软模式推行安全信息共享

Adobe效仿微软模式推行安全信息共享

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在星期三的黑帽大会上,奥多比将宣布效仿微软模式对安全信息进行共享。这样,在发布安全更新之前,它会先与安全公司分享自己软件在安全方面存在弱点的相关信息。

作者:ZDNet安全频道 来源:ZDNet安全频道【原创】 2010年8月6日

关键字: Adobe 微软 软件漏洞 补丁 黑帽大会2010 黑帽大会 漏洞 系统漏洞

  • 评论
  • 分享微博
  • 分享邮件

ZDNet安全频道原创翻译 转载请注明作者以及出处

  在星期三的黑帽大会上,奥多比将宣布效仿微软模式对安全信息进行共享。这样,在发布安全更新之前,它会先与安全公司分享自己软件在安全方面存在弱点的相关信息。奥多比效仿微软模式实现安全信息共享

  微软是在2008年启动主动防御计划(MAPP)的,此后,在发表产品安全更新前,微软就会与安全公司分享相关的漏洞信息,让它们可以及时更新安全产品,并提前防范这些安全漏洞,以保证客户的安全。

  微软表示,MAPP计划大大降低了安全漏洞的空窗期,在某些情况下,漏洞的存在时间甚至减少了75%以上。奥多比公司产品安全和隐私总监布拉德·阿金在21日告诉CNET,这一成功促使奥多比计划从今年秋天的某个时候开始加入该项目。

  阿金说,“这让我们可以与微软一起进行协同工作,而不必象以前那样另起炉灶做很多额外的工作。”和微软一样,奥多比将与相同的MAPP合作伙伴分享信息,采用的格式和基础设施也将是完全一致的。

  与此同时,在这星期,微软也将发布一个工具包,用来使旧版本的Windows和第三方应用程序可以受到为基于Windows计算机设计的专门技术的保护,避免遭遇攻击。这里的专门技术指的是,新版本Windows支持的地址空间随机化(ASLR)和数据执行保护(DEP)。

  微软安全响应中心主任迈克·雷维宣称,新的增强减灾体验工具可以让旧版本Windows和非Microsoft软件开发者利用到这些技术带来的优势。

  此外,微软正在促进将安全漏洞方面的处理策略调整为“协调的漏洞披露”,既不再是“负责任的披露”(仅仅通知受影响的软件供应商),也不是“充分披露”(立即通知所有人)。软件巨人开始鼓励研究人员在漏洞传播开之前与公司进行合作。

  在经过激烈的公开辩论后,谷歌研究员塔维斯·奥曼迪于6月公开披露了Windows中的一个漏洞,并在微软有机会开发修补程序之前,发布了针对该漏洞的概念验证代码。奥曼迪为他的行动辩护说,只有引起微软的注意才能解决这一问题,并且,其他研究人员也表示了支持。在漏洞被披露的几天后,已经检测到试图针对该漏洞的恶意攻击。

  在上星期,一篇由奥曼迪等人签署的文章发表在谷歌安全团队的日志上。他们指出,厂商往往利用“负责任”的披露来延缓漏洞的修补。并且表示,对于厂商修补安全漏洞的时间限制来说,60天是一个合理的期限。

  “我们将邀请其它研究人员加入这一活动,利用提出的披露期限,让安全响应速度变得更快,”谷歌团队呼吁道。“定时修补带来的压力可以让黑客利用漏洞的机会变得更少。我们认为,规则的这一小小调整,可以为全体互联网用户带来更大的安全。”

  根据这篇日志的说法,微软策略的变化和它以前所提倡的“负责任的”揭露并无多大区别。

  “对于产品的漏洞修复来说,我并不认为存在一个(适合于所有类型的)固定期限,”雷维告诉CNET。“最重要的一点应该是确保安全更新对于客户是有效的....并承担责任。用户希望供应商和研究人员可以共同努力。”

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章