Tags:
Node Thumbnail

Project Zero ของกูเกิลออกบทความคำถามพบบ่อย (FAQ) ระบุถึงเหตุผลที่ต้องเปิดเผยช่องโหว่ภายใน 90 วันหลังจากรายงาน แม้ผู้ผลิตจะไม่สามารถแก้ไขได้ทันเวลาก็ตาม โดยระบุว่าด้วยนโยบายปัจจุบัน ผู้ผลิตสามารถแก้ไขได้ก่อนที่ Project Zero จะเปิดเผยช่องโหว่คิดเป็น 95.8% หรือตลอดช่วงเวลาตั้งแต่ปี 2015 เป็นต้นมา มีช่องโหว่ถูกเปิดเผยโดยยังไม่ได้แก้ไขเพียง 66 รายการเท่านั้นจากที่มีการรายงาน 1,585 รายการ

นโยบายของ Project Zero ตอนนี้กำหนดว่าจะเปิดเผยช่องโหว่ภายใน 90 วัน เว้นแต่ผู้ผลิตสัญญาว่าจะออกแพตช์ได้ทันเวลา เช่น มีแพตช์แล้วแต่รอรอบการออกแพตช์ถัดไป ก็จะยืดเวลาให้อีกไม่เกิน 14 วันเพื่อรอแพตช์ก่อน โดยหากคิดเฉพาะช่วงเวลาที่มีนโยบายยืดเวลา 14 วันนี้ อัตราการแพตช์ทันเวลาจะเพิ่มเป็น 97.5%

แนวทางกำหนดเส้นตาย 90 วันเคยมีปัญหาเมื่อปี 2015 ที่ไมโครซอฟท์พัฒนาแพตช์แล้วแต่รอรอบการปล่อยแพตช์ในวันอังคารตามปกติ แต่ Project Zero กลับเปิดเผยช่องโหว่ทันทีที่ครบ 90 วัน จนทำให้ Project Zero เปลี่ยนนโยบายในภายหลัง

ในเอกสารยืนยันว่านโยบาย 90 วันนี้จำเป็น เพราะหากนักวิจัยพบช่องโหว่ได้ ก็ไม่มีอะไรยืนยันว่าจะมีแฮกเกอร์กลุ่มอื่นๆ พบช่องโหว่ไปก่อนแล้วหรือไม่ การมีเส้นตายทำให้ผู้ผลิตมีแรงจูงใจที่จะพัฒนาแพตช์อย่างรวดเร็ว ขณะเดียวกันเส้นตายที่ให้ก็สมเหตุสมผล สามารถทำตามได้จริง

เอกสารยังระบุถึงความจำเป็นที่จะต้องเปิดโค้ดทดสอบ ว่าแม้โค้ดจะถูกนำไปใช้โจมตีได้ แต่โค้ดเหล่านี้ไม่ได้เป็นโค้ดการโจมตีเต็มรูปแบบ (full-chain) โค้ดเหล่านี้ก็ช่วยผู้ดูแลระบบให้ประเมินได้อย่างถูกต้องว่าแพตช์มีความสำคัญแค่ไหน ผู้ดูแลความปลอดภัยสามารถหาทางตรวจสอบและลดความเสี่ยงได้

บทความยังยืนยันว่ากูเกิลเองไม่ได้มีสิทธิ์เข้าถึงรายการช่องโหว่ล่วงหน้า ยกเว้นพนักงานที่เกี่ยวข้อง รวมถึงพนักงานที่ร่วมกับ Project Zero ในฐานะงาน 20% นอกจากงานปกติ ส่วนทีมงานอื่น เช่น Chrome, Android และซอฟต์แวร์อื่นนั้นได้รับรายงานแบบเดียวกับผู้ผลิตภายนอก

ที่มา - Project Zero

No Description

ภาพโดย fancycrave1

Get latest news from Blognone

Comments

By: hisoft
ContributorWindows PhoneWindows
on 4 August 2019 - 21:42 #1122627
hisoft's picture

เอกสารยังระบุถึงความจำเป็นที่จะต้องเปิดโค้ดทดสอบ ว่าแม้โค้ดจะถูกนำไปใช้โจมตีได้ แต่โค้ดเหล่านี้ไม่ได้เป็นโค้ดการโจมตีเต็มรูปแบบ (full-chain) โค้ดเหล่านี้ก็ช่วยผู้ดูแลระบบให้ประเมินได้อย่างถูกต้องว่าแพตช์มีความสำคัญแค่ไหน ผู้ดูแลความปลอดภัยสามารถหาทางตรวจสอบและลดความเสี่ยงได้

ถูกต้องครับ No threat model, no security bug.

By: lew
FounderJusci's WriterMEconomicsAndroid
on 4 August 2019 - 22:13 #1122631 Reply to:1122627
lew's picture

คนละเรื่องครับ อันนี้เขาหมายถึงมันเข้าไปได้แค่บางส่วนแล้ว ไม่ได้เป็นเครื่องมือสำเร็จ เช่น PoC ลองช่องโหว่ ไม่ได้เป็นตัวแทรกข้อมูลเจาะเครื่องแบบนั้น

กรณี VLC นั่นเป็น "ความเสี่ยง" แต่ไม่ใช่ช่องโหว่จริงๆ


lewcpe.com, @public_lewcpe

By: hisoft
ContributorWindows PhoneWindows
on 4 August 2019 - 22:27 #1122634 Reply to:1122631
hisoft's picture

ไม่ได้อ้างอิงโดยตรงเท่าไหร่ครับแต่หมายถึงมีอะไรมายืนยันระดับนึงด้วย