ทีมรักษาความปลอดภัย Project Zero ของ Google จะรอ 90 วันเพื่อเปิดเผยช่องโหว่ที่พบ

เอ็กซ์ดา มินิNov 13, 2023
click fraud protection

ทีมรักษาความปลอดภัย Project Zero ของ Google จะรอเป็นเวลา 90 วันก่อนจะเปิดเผยช่องโหว่ที่พวกเขาค้นพบ

Project Zero เป็นแผนกรักษาความปลอดภัยที่ Google ว่าจ้าง ก่อตั้งขึ้นในปี พ.ศ. 2557. ภารกิจหลักของทีมคือการค้นหาช่องโหว่แบบ Zero-day นั่นคือช่องโหว่ที่ไม่ทราบ (หรือไม่ได้รับการแก้ไขโดย) ฝ่ายที่ควรสนใจในการบรรเทาผลกระทบ “เลือดหัวใจ” นั่นเอง การใช้ประโยชน์แบบซีโรเดย์อย่างหนึ่งดังกล่าวซึ่งได้รับการรายงานเป็นการส่วนตัวโดยทีมรักษาความปลอดภัยสองทีมที่แยกจากกันไปยัง OpenSSL หนึ่งในทีมรักษาความปลอดภัยเหล่านี้ดำเนินงานภายใต้ Google และนำไปสู่การสร้าง Project Zero ในที่สุด ข้อบกพร่องนี้ถูกค้นพบในเดือนเมษายนปี 2014 ส่วน OpenSSL เวอร์ชันที่มีการแก้ไขข้อบกพร่องนั้นได้รับการเผยแพร่ในอีกไม่กี่วันต่อมาพร้อมกับการเปิดเผยข้อบกพร่องทั้งหมด การเปิดเผยข้อมูลอย่างเต็มรูปแบบนี้หมายความว่าระบบที่ไม่ได้รับการอัปเดตทันทีมีความเสี่ยง แม้ว่าโดยทั่วไปแล้วจะเป็นแรงจูงใจให้ทีมนักพัฒนาอัปเดตซอฟต์แวร์ของตนก็ตาม

ตั้งแต่นั้นมา Project Zero ของ Google ก็ทำงานในลักษณะเดียวกัน เมื่อพบจุดบกพร่องแบบซีโร่เดย์ ทีมงานจะรายงานจุดบกพร่องนั้นเป็นการส่วนตัวไปยังบริษัทใดก็ตามที่เป็นเจ้าของซอฟต์แวร์ นับจากวันที่เปิดเผย บริษัทมีเวลา 90 วันในการแก้ไขข้อบกพร่อง หากแก้ไขก่อนกรอบเวลา 90 วันจะเสร็จสมบูรณ์ Google จะเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ดังกล่าว หากผ่านไป 90 วันโดยไม่ได้รับการแก้ไข ทีมงานจะปล่อยช่องโหว่ต่อไปซึ่งตั้งใจจะทำให้ ผู้ใช้ตระหนักถึงปัญหาของซอฟต์แวร์ที่พวกเขาใช้อยู่ ขณะเดียวกันก็อาจเป็นแรงจูงใจให้บริษัททำงานด้วย เร็วขึ้น. มีข้อบกพร่องประการหนึ่งที่ผู้ขายรับรู้เกี่ยวกับระบบนี้ และเช่นเดียวกับ Heartbleed ก็คือผู้ใช้รายนั้น (หรือนักพัฒนา) อาจไม่สามารถอัพเกรดระบบได้เร็วพอก่อนที่จะตกเป็นเหยื่อของ การแสวงหาผลประโยชน์ ด้วยเหตุนี้ ทีมงาน Project Zero จึงได้ประกาศว่าในปีนี้ พวกเขากำลังทดลองใช้งานโดยรอเป็นเวลา 90 วัน ไม่ว่าจะแก้ไขช่องโหว่ได้เร็ว (หรือช้า) แค่ไหนก็ตาม

นโยบายของ Google ในการเปิดเผยจุดบกพร่องภายใน 7 วัน หากพบหลักฐานว่าจุดบกพร่องนั้นถูกนำไปใช้ประโยชน์ในป่านั้นไม่ได้รับผลกระทบ ในบล็อกโพสต์เดียวกันนี้ ทีมงาน Project Zero ได้ประกาศการเปลี่ยนแปลงเล็กๆ น้อยๆ อื่นๆ อีกจำนวนหนึ่ง Google มีความภูมิใจที่จะประกาศว่า 97.7% ของปัญหาทั้งหมดที่พวกเขาค้นพบได้รับการแก้ไขภายในกรอบเวลา 90 วัน คุณสามารถอ่านโพสต์บล็อกแบบเต็มด้านล่าง

แหล่งที่มา: Google โครงการศูนย์