安全专家发现漏洞PoC报告成为黑客向用户发出网络威胁的新武器
按安全界的例行做法发现漏洞后首先应提交给相关厂商,厂商发布安全更新修复漏洞后才能将漏洞信息公开。
当然上述做法只是在遇到负责人的厂商时才会奏效,有的厂商对于安全研究人员提交的漏洞向来是不闻不问。
最后倒逼研究人员只能被迫公开漏洞细节让业界谴责厂商才行,比如经常不闻不问的西部数据就被公开多次。
然而漏洞细节也成为威胁用户的新武器:
日前国外安全公司 Positive Technologies 发布报告指出,漏洞细节被曝光后会致使无数用户处于风险之中。
例如此前推特上有研究人员发现漏洞直接公开没提交给微软 , 结果 ESET 反病毒软件迅速检测到相关的攻击。
去年国内开源框架ThinkPHP的安全漏洞遭到曝光后 , 全球范围内数百万的基于此框架构建的网站遭到攻击。
安全专家试图以上述安全情况引起安全界的关注:如果公开漏洞细节那么将会成为网络黑客们攻击的新武器。
不负责的厂商和不负责的研究人员:
尽管安全界的通行做法是厂商与研究人员相互合作,然后按照当前既有的行业漏洞公示规则逐步的披露漏洞。
但是并不是所有厂商和研究人员都能遵循这个准则,相对来说不靠谱的厂商倒逼更多研究人员被迫公开漏洞。
即便如此 Positive Technologies 还是试图利用这次的分析报告提醒安全界同仁们尽可能不要轻易公开漏洞。