1月7日,专门研究软件漏洞的Google Project Zero团队宣布对披露检测到的错误信息(
新闻 ,博客文章)的规则进行了更改。 到2020年,零号项目将在首次通知“受影响的”供应商90天后披露漏洞信息。 截止日期没有改变,但是在那之前,如果软件开发人员设法在此截止日期之前发布了补丁程序,零计划的研究人员可以更快地发布有关该问题的报告。 现在,无论该修补程序是否可用,零项目都将等待90天。
由于许多原因,新规则引起了人们的兴趣。 首先,没有统一的标准-给软件开发人员多少时间来分析和修复漏洞。 零项目团队定期检测严重的软件漏洞,他们自己做出了这样的决定,因此试图影响整个行业。 其次,更改优先级很重要:开发人员会积极地可靠地修复漏洞,而不是“让我们更快地关闭此错误”。 否则,通常会发现该补丁根本无法解决问题,或者会添加新的错误。
现在,“零项目”中的新披露漏洞报告规则如下所示:
可以解决另一个重要的变化:规则变得更加复杂。 如果供应商遇到困难,相同的90天期限可以延长到104天,但是可以在另外两周内解决问题。 零日漏洞的期限为7天,这是一个很短的期限:如果攻击者已经利用了软件中的错误,那么将其隐藏在公众面前是没有意义的。 复杂的规则是正常的,因为存在不同的情况。 例如,补丁程序中的早期错误处理的不一致:是作为新漏洞,还是作为旧漏洞的补充。 现在,即使它们已经公开可用,也将被添加到现有报告中。
根据定义,漏洞披露的主题是相互冲突的。 软件开发人员可能会考虑公开漏洞信息对其声誉造成打击。 发现错误的研究人员可能会被指控“在他人不幸中公关”。 至少在开始“戴白帽子”的供应商的系统工作之前,大多数情况下只是这样。 随着时间的推移,感知会发生变化:任何软件中都存在漏洞。 您可以通过发现错误的数量而不是关闭漏洞的速度来评估特定公司。 与独立的漏洞搜寻者的互动也正在建立-通过漏洞赏金计划的帮助,以及通过这种尝试来建立游戏规则。
但是,这并不意味着所有问题都已解决。 如果无法关闭该错误(例如Apple设备中的checkm8漏洞)怎么办? 披露补丁程序不起作用并且90天的截止日期已过期是否符合道德规范? 因此,根据与供应商合作的结果,零号项目在新规则中添加了beta前缀,并且不排除将来的更改。 到目前为止,根据零号项目,九十天的时间足以解决97.7%的漏洞。 无论如何,将方法从“尽快发布补丁”更改为“安全地关闭漏洞”是个好消息。
还发生了什么:SHA-1加密算法的破解成本更低(
新闻 ,研究)。 研究人员早在2017年就对SHA-1进行了一次实际攻击,但
如果以条件亚马逊价格购买必要的计算能力,将花费数十万美元。 新工作已将这一数额从理论上减少到4.5万美元,在实践中减少到7.5万美元-考虑到能力和培训费用的采购不足。 攻击非常真实:如果使用该算法对通信进行加密,则可以截获消息。 SHA-1在网络上几乎被完全消除,但仍在许多过时的应用程序中使用。
来自Malwarebytes的研究人员在廉价的Android智能手机中发现了一个不可拆卸的
后门 ,这家美国移动运营商作为政府计划的一部分分发了该
后门 ,以支持穷人。
Firefox 72的新版本已解决了一些严重的错误,并实施了一些工具来对抗“指纹识别”-通过浏览器设置识别用户。 浏览器为网络提供了数十个参数,包括例如已安装的字体和插件。 这些设置的组合使您可以确定用户,即使该用户限制了使用cookie的标准识别方式的使用。 通过禁止向公司转移信息来解决该问题,“众所周知,公司使用指纹识别方法。”
CheckPoint
对 TikTok Messenger
进行了调查 。 以前,这种具有中国血统的应用程序被
禁止在美国陆军中使用。 较不政治化的CheckPoint研究发现严重漏洞,包括攻击者可以从其他人的帐户发送视频的功能。 在阿联酋流行的另一个使者ToTok(由于对其他服务的禁令)被Google Play商店禁止,但随后
又返回 -足以更改用户协议,明确指出该程序例如将通讯录上传到其服务器用户。
Facebook已经
禁止 “政治性”假冒产品。 例如,在社交网络的新规则下,您不能与唐纳德·特朗普(Donald Trump)发布修改过的视频,但可以与尼古拉斯·凯奇(Nicolas Cage)发布。 后者属于讽刺类。 我想知道他们将如何确定? 技术方法
正在开发中,现在将现实与小说区分开来并不容易。
谷歌
暂时关闭了小米摄像头对其Nest Hub智能家居自动化工具的访问权限。 由于“缓存故障”,连接小米相机的Nest Hub用户观看了不属于他们的其他相机的视频和图像。