谷歌：“零日漏洞” 7 天不修復就公布細節

        谷歌安全工程師 Chris Evans 和 Drew Hintz 近日在官方博客中表示，如果發現一些軟件中的零日漏洞（指廠商還未修復的未知漏洞）被廣泛利用，而相關供應商在 7 日內還未修復或采取進一步行動，谷歌將披露這些漏洞的相關細節，讓用戶自己采取措施。 

        一直以來，谷歌如果發現一些被利用的零日漏洞，會立即向受影響的供應商報告，并與他們合作，使問題得以盡快解決。谷歌建議企業應該在這些漏洞發現后的 60 天內修復，如果屆時沒有修復，企業應該告知用戶相關的風險，并提供解決辦法。 

        多年來，谷歌已經報告了幾十個零日漏洞，其中包括 XML 解析漏洞、通用跨站腳本（XSS）漏洞以及其他一些針對 Web 應用的漏洞。 

        但谷歌發現，時間太長容易導致更多的系統遭受攻擊，因此，谷歌決定將這一時間縮短至 7 天。 

        谷歌稱，7 天時間要求企業更新軟件可能太短了，但這些企業完全可以在這個時間內采取一些彌補措施，比如暫停服務、限制訪問等。如果 7 天之后這些企業還沒有發布任何補丁或建議，谷歌將支持研究者公布相關細節，以便用戶可以采取一些措施來保護自己。 

        很顯然，這種措施可以加大企業對安全的重視，但是也有副作用，比如企業在 7 天之內發布了補丁，但用戶沒有及時更新，公布漏洞細節可能會造成更大范圍的危害。 

        Via 谷歌在線安全團隊博客