聊聊 Google Project Zero

这几天考试考的心塞塞的,写篇博客放松下。

webp

首先我们先来了解下什么是 Project Zero!

Project Zero 是谷歌公司在安全领域的一项公益计划,由 Chrome 安全团队负责人Chris Evans 于2014年7月15日对外公布。
较早时,谷歌安全工程师发现并报告 OpenSSL 的安全漏洞 HeartBleed,影响巨大,此后谷歌即决心启动 Project Zero 安全计划。“Zero”意指“Zero Day”,在这里特指与恶意黑客的“零日攻击”抢时间,以最大限度地保护全球网络与信息安全。
根据该计划,谷歌拟面向全球招募一批顶尖安全研究者(包括团队和个人),组成虚拟安全团队,研究主流软件可能存在的安全漏洞,通报相关软件厂商、协助修复,并在修复后公开漏洞详情。
Chris Evans 承诺,谷歌将向安全漏洞的报告者提供丰厚赏金。

值得注意的一点是,谷歌通知厂商后,无论该厂商是否修复该漏洞,谷歌都会公布该漏洞的利用细节。

这无论这个条件实在太有争议了,尤其是最近谷歌在微软发布安全补丁之前提前一天公布了微软Win8.1提权漏洞的利用 POC .微软曾要求谷歌不要公开漏洞细节,并等到这一天之后。但是谷歌并未给微软这个面子,直接就公布了,这微软相当于是当众被打脸了呀!

我个人观点是支持谷歌90天之后公布漏洞利用细节的,因为一方面可以给厂商压力,让他们尽快发布漏洞补丁,另一方面也可以尽快地让世界各地的安全研究人员知道最新的漏洞细节。当然,凡事都要两面性,尽快的发布以及在厂商还没发布安全补丁前发布漏洞利用细节就意味着骇客也可以更快的得到漏洞利用细节。不过,90天还没能发布漏洞补丁只能怪厂商消极怠工了。

但是,这90天公布漏洞细节的方案对于用户可能并非是最佳的,因为有时候漏洞还未修复,利用细节就被公布了,这时候,受到伤害的还不是用户。但是不公布的话,厂商又可能会迟迟拖延漏洞发布时间。

安全,永远是把双刃剑。具体怎么利用就看你自己了。