Project Zero เปลี่ยนนโยบายเปิดเผยช่องโหว่หลังรายงาน 90 วันเสมอแม้แก้เร็ว, แก้บั๊กแล้วแต่ไม่สมบูรณ์ไม่ต่อเวลาให้

By: lew

on 9 January 2020 - 10:12 Tags:

Topics:

Project Zero

Google

Security

Project Zero โครงการรายงานช่องโหว่สาธารณะของกูเกิลเปลี่ยนนโยบายการเปิดเผยช่องโหว่หลังรายงาน 90 จากเดิมหากซอฟต์แวร์ออกแพตช์เร็วกว่า 90 วันก็จะเปิดเผยช่องโหว่หลังจากออกแพตช์ มาเป็นการเปิดเผยหลังรายงาน 90 วันเสมอ แม้ผู้ผลิตจะออกแพตช์เร็วกว่ากำหนด

นโยบายใหม่ยังเปลี่ยนรายละเอียดเพิ่มเติม อีก 3 ประเด็น ได้แก่

กรณีที่แพตช์ไม่สมบูรณ์ ก่อนหน้านี้นักวิจัยอาจจะนับเวลาต่อจากช่องโหว่เดิม หรือเปิดเป็นช่องโหว่ใหม่ซึ่งนับเวลา 90 วันใหม่ หลังจากนี้จะนับเวลาต่อจากช่องโหว่เดิมเสมอ
กรณีที่ผู้ผลิตขอเวลาเพิ่มเติมหลัง 90 วัน เนื่องจากกำลังออกแพตช์ (grace period) ก่อนหน้านี้ทาง Project Zero จะให้เวลาอีกระยะหนึ่งหลังออกแพตช์ แต่นโยบายใหม่จะเปิดช่องโหว่ทันทีหลังออกแพตช์
กรณีครบกำหนด 90 วัน ก่อนหน้านี้นักวิจัยเป็นผู้ตัดสินใจว่าจะเปิดเผยช่องโหว่เมื่อใด แต่หลังจากนี้กระบวนการเปิดช่องโหว่จะเป็นระบบอัตโนมัติ

ทาง Project Zero ชี้แจงเหตุผลว่าหลายกรณีผู้ผลิตพยายามออกแพตช์ให้เร็วไว้ก่อนแต่แพตช์กลับไม่ครอบคลุมการโจมตี

ที่มา - Project Zero

No Description

Hiring! บริษัทที่น่าสนใจ

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

CP AXTRA Public Company Limited - Lotus's

CP AXTRA Lotus's is revolutionizing the retail industry as a Retail Tech company.

United Information Highway Co., Ltd.

UIH is Thailand’s leading Digital Infrastructure and Solution Provider for Business

Comments

By: PH41

on 9 January 2020 - 10:19 #1143105

Zero day เลยทีเดียว

By: iamfalan

on 9 January 2020 - 11:43 #1143120

กำลังสงสัยว่านโยบายแบบนี้มันจะมีประโยชน์อะไรน่ะครับ คือเข้าใจว่าดั้งเดิมตัว 90 วันมีเพื่อบีบให้เจ้าของ platform ที่มีบั๊ก รีบทำการแก้ไข แต่กฎเกณฑ์ใหม่ๆ นี่ กระทั่งว่า ออก patch ไปแล้ว ยังไม่มี grace period (เผื่อเวลา distribute patch) ให้ด้วย

By: lew

on 9 January 2020 - 13:23 #1143133 Reply to:1143120

ออกแพตช์ไปแล้ว "หลัง 90 วัน" ถึงไม่มีให้ครับ นั่นแปลว่าเจ้าของ product ดอกบั๊กไว้สามเดือนแล้ว

ผมว่าเข้าใจได้นะ กฎใหม่นี่กลายเป็นว่ายิ่งออกแพตช์เร็ว ยิ่งแก้ก่อนเปิดเผยนาน สมมติว่าสองสัปดาห์แก้เสร็จ ตอนเปิดเผยออกมาข่าวจะเป็นว่า "แพตช์ไปตั้งแต่สองเดือนที่แล้ว" ส่วนคนที่รอเกิน 3 เดือนนี่ก็ต้องถือว่าไม่ได้ประโยชน์อะไร

ในแง่ความปลอดภัยผู้ใช้ การที่ช่องโหว่ถูกพบไปแล้ว มันมีโอกาสที่จะถูกใช้งานไม่ทางใดก็ทางหนึ่ง การดึงเช็งไว้นานเป็นอันตราย การที่ผู้ผลิตอาศัย grace period ไปเรื่อยๆ ยืดอายุการรายงานนี่ไม่ใช่เรื่องที่ดี การเตือนทันทีให้ผู้ใช้รีบแพตช์ (เพราะช่องโหว่เปิดเผยแล้ว) น่าจะดีกว่า

lewcpe.com , @wasonliw

By: devilblaze

on 9 January 2020 - 13:27 #1143134

หวังว่าจะไม่แพ้ลูกอ้อนแบบคราวก่อนนะ

By: Mr.EYE on 9 January 2020 - 18:03 #1143205

สงสัยว่า ทำไมบริษัทที่ทั้งทีมหาบั๊กให้กับคนอื่นด้วยเนียเขาทำไปเพื่ออะไร เพื่อชื่อเสียง เพื่อเงิน เพื่อความปลอดภัยของตัวเอง เพื่ออำนาจ ถ้าดูจากกฏต่าง ๆ แล้วมันเหมือนพยายามจะมีอำนาจควบคุมบริษัทอื่น ๆ ทางอ้อมเลย

By: pe3z

on 10 January 2020 - 17:39 #1143369 Reply to:1143205

เป็นประเด็นที่น่าสนใจครับ ต้องยอมรับว่าการถือช่องโหว่เอาไว้มีอิทธิพลอยู่เพียงแต่ว่าอิทธิพลที่เกิดขึ้นผมยังมองไม่ออกว่ามันจะถูก abuse ในด้านที่ไม่ดีได้อย่างไรบ้าง ถ้าเสมือนว่าอิทธิพลต่อบริษัทอื่นๆ มีอยู่ให้ต้อง deliver ซอฟต์แวร์ที่ปลอดภัยมากขึ้น ผลประโยชน์สุดท้ายจะเกิดกับผู้ใช้งานและทีมนักพัฒนาเองที่ได้ประโยชน์จากการถูกตรวจสอบอยู่ดี และจะได้ lesson learned ด้วยว่าคุณจะต้องทำซอฟต์แวร์ให้ปลอดภัยนะ (แล้วไปจัดการ technical debt กันเอง)