安基网 首页 资讯 安全报 查看内容

谷歌旗下安全实验室称超过95.8%的漏洞都在90天的披露期内修复

2019-8-5 00:06| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 谷歌旗下知名的安全实验室Google Project Zero 经常会披露各种操作系统、软件以及硬件方面的安全漏洞。例如该安全实验性此前因为披露Windows 10未修复的漏洞而被微软抨击,不过总体来说多数漏洞及时修复。因为按照谷歌规则如果漏洞在 90 天内未修复,漏洞的相关细节就会公开 , 以此来敦促开发商赶紧进 ...

谷歌旗下知名的安全实验室Google Project Zero 经常会披露各种操作系统、软件以及硬件方面的安全漏洞。

例如该安全实验性此前因为披露Windows 10未修复的漏洞而被微软抨击,不过总体来说多数漏洞及时修复。

因为按照谷歌规则如果漏洞在 90 天内未修复,漏洞的相关细节就会公开 , 以此来敦促开发商赶紧进行修复。

当然也有些额外的情况例如英特尔处理器的幽灵熔断漏洞,此类漏洞危害较大所以谷歌会给予更长的宽限期。

95.8%的安全漏洞被及时修复:

谷歌安全实验室表示自实验室创立以来合计共向软件和硬件开发商报告 1585 个安全漏洞多且多数得到修复。

诸如Windows 10等部分漏洞由于没有及时而被谷歌公开 , 谷歌表示此类漏洞细节公开的情况仅仅只有66份。

也就说95.83% 的漏洞都能在披露期公布前被修复,在被修复后漏洞细节公开造成的危害相对来说就会降低。

实际上也有漏洞在宽限期内修复的:

大量的漏洞都在谷歌指定的时间内被妥善修复 ,不过这里指定的时间并非固定的 90 天,而是还包括宽限期。

谷歌称在 90 天正常披露时间内被修复的漏洞有1224个,有174个安全漏洞在谷歌给予的14天宽限期内修复。

然而还有36个安全漏洞直接没有任何安全补丁而被公开, 这些漏洞或是开发商倒闭或是产品已经被终止服务。

这些安全漏洞也永远不会再获得任何更新以及修复,对于用户来说此类漏洞的危害远比超期修复的漏洞更大。

有批评但谷歌认为披露是值得的:

谷歌最近正在庆祝其安全实验室成立满五周年 , Google Project Zero最初是在2014年的7月17日正式成立。

在谷歌前其实已经有很多安全实验室以及独立的安全研究人员,不过在做法上其实安全研究人员处于弱势的。

例如西部数据曾多次出现研究人员报告漏洞不修复的情况,最后逼研究人员公开漏洞西部数据才着手修复等。

因此谷歌的做法是不管开发商修还是不修 , 漏洞就在那里,超过 90 天不修复漏洞被自动公开没有弥补机会。

对于开发商来说被爆出安全事件自然会有损名声,所以这种自动披露漏洞的做法也倒逼开发商必须及时修复。

谷歌认为有时候披露未被修复漏洞确实引来外界批评,不过谷歌也认为这种披露是值得的未来也不会再改变。

关注蓝点网头条号不迷路,Windows 10、科技资讯、软件工具、技术教程,尽在蓝点网。蓝点网,给你感兴趣的内容!感谢打赏支持!



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6721254406437765639/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部