谷歌：“零日漏洞” 7 天不修复就公布细节

        谷歌安全工程师 Chris Evans 和 Drew Hintz 近日在官方博客中表示，如果发现一些软件中的零日漏洞（指厂商还未修复的未知漏洞）被广泛利用，而相关供应商在 7 日内还未修复或采取进一步行动，谷歌将披露这些漏洞的相关细节，让用户自己采取措施。 

        一直以来，谷歌如果发现一些被利用的零日漏洞，会立即向受影响的供应商报告，并与他们合作，使问题得以尽快解决。谷歌建议企业应该在这些漏洞发现后的 60 天内修复，如果届时没有修复，企业应该告知用户相关的风险，并提供解决办法。 

        多年来，谷歌已经报告了几十个零日漏洞，其中包括 XML 解析漏洞、通用跨站脚本（XSS）漏洞以及其他一些针对 Web 应用的漏洞。 

        但谷歌发现，时间太长容易导致更多的系统遭受攻击，因此，谷歌决定将这一时间缩短至 7 天。 

        谷歌称，7 天时间要求企业更新软件可能太短了，但这些企业完全可以在这个时间内采取一些弥补措施，比如暂停服务、限制访问等。如果 7 天之后这些企业还没有发布任何补丁或建议，谷歌将支持研究者公布相关细节，以便用户可以采取一些措施来保护自己。 

        很显然，这种措施可以加大企业对安全的重视，但是也有副作用，比如企业在 7 天之内发布了补丁，但用户没有及时更新，公布漏洞细节可能会造成更大范围的危害。 

        Via 谷歌在线安全团队博客