Tags:
Node Thumbnail

Project Zero โครงการรายงานช่องโหว่สาธารณะของกูเกิลเปลี่ยนนโยบายการเปิดเผยช่องโหว่หลังรายงาน 90 จากเดิมหากซอฟต์แวร์ออกแพตช์เร็วกว่า 90 วันก็จะเปิดเผยช่องโหว่หลังจากออกแพตช์ มาเป็นการเปิดเผยหลังรายงาน 90 วันเสมอ แม้ผู้ผลิตจะออกแพตช์เร็วกว่ากำหนด

นโยบายใหม่ยังเปลี่ยนรายละเอียดเพิ่มเติม อีก 3 ประเด็น ได้แก่

  • กรณีที่แพตช์ไม่สมบูรณ์ ก่อนหน้านี้นักวิจัยอาจจะนับเวลาต่อจากช่องโหว่เดิม หรือเปิดเป็นช่องโหว่ใหม่ซึ่งนับเวลา 90 วันใหม่ หลังจากนี้จะนับเวลาต่อจากช่องโหว่เดิมเสมอ
  • กรณีที่ผู้ผลิตขอเวลาเพิ่มเติมหลัง 90 วัน เนื่องจากกำลังออกแพตช์ (grace period) ก่อนหน้านี้ทาง Project Zero จะให้เวลาอีกระยะหนึ่งหลังออกแพตช์ แต่นโยบายใหม่จะเปิดช่องโหว่ทันทีหลังออกแพตช์
  • กรณีครบกำหนด 90 วัน ก่อนหน้านี้นักวิจัยเป็นผู้ตัดสินใจว่าจะเปิดเผยช่องโหว่เมื่อใด แต่หลังจากนี้กระบวนการเปิดช่องโหว่จะเป็นระบบอัตโนมัติ

ทาง Project Zero ชี้แจงเหตุผลว่าหลายกรณีผู้ผลิตพยายามออกแพตช์ให้เร็วไว้ก่อนแต่แพตช์กลับไม่ครอบคลุมการโจมตี

ที่มา - Project Zero

No Description

Get latest news from Blognone

Comments

By: PH41
ContributorAndroidUbuntuWindows
on 9 January 2020 - 10:19 #1143105
PH41's picture

Zero day เลยทีเดียว

By: iamfalan
iPhoneAndroidWindows
on 9 January 2020 - 11:43 #1143120

กำลังสงสัยว่านโยบายแบบนี้มันจะมีประโยชน์อะไรน่ะครับ คือเข้าใจว่าดั้งเดิมตัว 90 วันมีเพื่อบีบให้เจ้าของ platform ที่มีบั๊ก รีบทำการแก้ไข แต่กฎเกณฑ์ใหม่ๆ นี่ กระทั่งว่า ออก patch ไปแล้ว ยังไม่มี grace period (เผื่อเวลา distribute patch) ให้ด้วย

By: lew
FounderJusci's WriterMEconomicsAndroid
on 9 January 2020 - 13:23 #1143133 Reply to:1143120
lew's picture

ออกแพตช์ไปแล้ว "หลัง 90 วัน" ถึงไม่มีให้ครับ นั่นแปลว่าเจ้าของ product ดอกบั๊กไว้สามเดือนแล้ว

ผมว่าเข้าใจได้นะ กฎใหม่นี่กลายเป็นว่ายิ่งออกแพตช์เร็ว ยิ่งแก้ก่อนเปิดเผยนาน สมมติว่าสองสัปดาห์แก้เสร็จ ตอนเปิดเผยออกมาข่าวจะเป็นว่า "แพตช์ไปตั้งแต่สองเดือนที่แล้ว" ส่วนคนที่รอเกิน 3 เดือนนี่ก็ต้องถือว่าไม่ได้ประโยชน์อะไร

ในแง่ความปลอดภัยผู้ใช้ การที่ช่องโหว่ถูกพบไปแล้ว มันมีโอกาสที่จะถูกใช้งานไม่ทางใดก็ทางหนึ่ง การดึงเช็งไว้นานเป็นอันตราย การที่ผู้ผลิตอาศัย grace period ไปเรื่อยๆ ยืดอายุการรายงานนี่ไม่ใช่เรื่องที่ดี การเตือนทันทีให้ผู้ใช้รีบแพตช์ (เพราะช่องโหว่เปิดเผยแล้ว) น่าจะดีกว่า


lewcpe.com, @public_lewcpe

By: devilblaze
iPhoneAndroidWindows
on 9 January 2020 - 13:27 #1143134
devilblaze's picture

หวังว่าจะไม่แพ้ลูกอ้อนแบบคราวก่อนนะ

By: Mr.EYE on 9 January 2020 - 18:03 #1143205

สงสัยว่า ทำไมบริษัทที่ทั้งทีมหาบั๊กให้กับคนอื่นด้วยเนียเขาทำไปเพื่ออะไร เพื่อชื่อเสียง เพื่อเงิน เพื่อความปลอดภัยของตัวเอง เพื่ออำนาจ ถ้าดูจากกฏต่าง ๆ แล้วมันเหมือนพยายามจะมีอำนาจควบคุมบริษัทอื่น ๆ ทางอ้อมเลย

By: pe3z
Writer
on 10 January 2020 - 17:39 #1143369 Reply to:1143205

เป็นประเด็นที่น่าสนใจครับ ต้องยอมรับว่าการถือช่องโหว่เอาไว้มีอิทธิพลอยู่เพียงแต่ว่าอิทธิพลที่เกิดขึ้นผมยังมองไม่ออกว่ามันจะถูก abuse ในด้านที่ไม่ดีได้อย่างไรบ้าง ถ้าเสมือนว่าอิทธิพลต่อบริษัทอื่นๆ มีอยู่ให้ต้อง deliver ซอฟต์แวร์ที่ปลอดภัยมากขึ้น ผลประโยชน์สุดท้ายจะเกิดกับผู้ใช้งานและทีมนักพัฒนาเองที่ได้ประโยชน์จากการถูกตรวจสอบอยู่ดี และจะได้ lesson learned ด้วยว่าคุณจะต้องทำซอฟต์แวร์ให้ปลอดภัยนะ (แล้วไปจัดการ technical debt กันเอง)