Хакер #305. Многошаговые SQL-инъекции
Учитывая претензии со стороны Microsoft, хакеры из проекта Project Zero решили слегка скорректировать сроки разглашения информации об уязвимостях, найденных в сторонних продуктах. Что ж делать, если некоторые компании не укладываются в стандартные сроки.
Теперь условия раскрытия информации изменяются. Если дедлайн приходится на выходные или праздники, то публикация переносится на ближайший рабочий день. Если у вендора готов патч для уязвимости, то дедлайн переносится на срок до 14 дней.
«Установка сроков перед разглашением информации об уязвимостях долгое время считалась стандартной практикой, — пишут в официальном блоге Project Zero. — Эта практика улучшает безопасность пользователей, стимулируя более быстрый выпуск патчей. Как указано в 45-дневном правиле CERT, она также “обеспечивает баланс между интересами общества, которое должно получить информацию, и интересами вендоров, чтобы эффективно отреагировать на уязвимость”». Аналогичные принципы публикации информации по прошествии определённого времени заложены в 90-дневное правило Yahoo и 120-дневное правило ZDI.
Нужно учитывать и тот факт, говорит Google, что хакерское сообщество зачастую тратит больше времени и усилий на поиск багов, чем фирма-разработчик. Соответственно, когда Project Zero находит очень опасную уязвимость в каком-либо продукте, есть большая вероятность, что этот баг уже известен злоумышленникам. Поэтому публикация уязвимости имеет смысл.
Раньше у Project Zero был стандартный срок раскрытия информации 90 дней. Но недавно произошёл ряд инцидентов с компанией Microsoft. После одного из них Microsoft выступила с публичной критикой компании Google за публикацию информации об уязвимости, для которой патч должны выпустить через два дня. По мнению Microsoft, конкуренты злорадно подвергли опасности пользователей Windows 8.1. В данном случае Microsoft слегка не уложилась в отведённые 90 дней. «Хотя публикация соответствует срокам, заявленным Google, но решение выглядит не столько соответствующим принципам, сколько своеобразному “ага, подловили”, — написал тогда Крис Бец (Chris Betz), старший директор Microsoft Security Response Center. — То, что хорошо для Google, не всегда является благом для пользователей. Мы призываем Google помнить о том, что защита пользователей — наша главная общая задача».
Устанавливая новые правила, представители Project Zero подчёркивают, однако, что далеко не все вендоры нарушали дедлайн. Например, отдел Adobe Flash закрыл 37 найденных уязвимостей (100%) в 90-дневный срок. Вообще, из 154 багов, найденных Project Zero к настоящему моменту, 85% было закрыто в срок. А если учитывать баги после 1 октября 2014 года, то и вовсе 95% закрыто. То есть Microsoft оставалась чуть ли не единственной компанией, которая не успевала залатать дыры вовремя.