记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

白宫发布漏洞披露政策 十大部门形成审查委员会

11月15日,白宫发布了其《漏洞平衡策略》(VEP),描述了白宫与其他10个机构,包括CIA、NSA和DHS,做出漏洞公告决策的过程。该策略解释了为什么有些漏洞要保密,而有些漏洞一被发现就会即刻发出警报。这些决策特别针对零日漏洞,也就是尚未打上补丁的未知安全漏洞。政府机构常会找出这些漏洞,有时候就将之转化为自己的黑客武器了。在基于NSA被盗黑客工具的WannaCry勒索软件肆虐之后,微软首席顾问抨击政府未将漏洞信息通告可以修复漏洞的公司。白宫网络安全协调员罗博·乔伊斯在15号的博客文章中称,提升此过程的透明度是很重要的,但他也维护政府将某些漏洞保密的决策。乔伊斯说:“尽管我不认为将所有漏洞留做网络行动所需是负责任的做法,但我们看到有很多国家都这么做。”决策过程始于找到漏洞并提交到VEP审查委员会,该委员会包含下
发布时间:2017-11-19 06:30 | 阅读:71366 | 评论:0 | 标签:行业动态 漏洞披露 美国白宫 零日漏洞 漏洞

让安全研究人员左右为难的问题:漏洞共享还是不共享?

终端用户群体只能寄希望于安全研究员的负责任行动 今年的WannaCry勒索软件攻击,以及Equifax大规模数据泄露事件,凸显出威胁信息共享、安全研究协作和开源安全工具开发的重要性。但这些工作的开展,往往伴随着信息被滥用的固有风险。安全人员用以防御威胁的信息,可能也传到了恶意攻击者手中。Gartner的调查显示,到2020年,安全及IT人员将能获悉99%的可利用漏洞。Equifax数据泄露事件的情况正是如此,攻击者利用的,就是流行企业平台 Apache Struts Web应用软件中的一个已知漏洞。Apache软件基金会早在3月份就发布了补丁,Equifax拥有2个多月的时间采取预防性措施,本可以最小化数据暴露风险的。于是,这种情况下,安全研究人员可以采取什么措施,来缓解自己发现的漏洞及利用代码不被滥
发布时间:2017-11-10 19:55 | 阅读:83542 | 评论:0 | 标签:牛闻牛评 安全厂商 漏洞披露 漏洞

微软终于抓住谷歌把柄 “负责任披露”Chorme远程代码执行漏洞

微软称:“Chrome在远程代码执行(RCE)缓解上的相对缺乏,意味着从内存崩溃漏洞到漏洞利用之间的路径,可能会非常短。”软件巨头微软,在公布谷歌Chrome浏览器RCE漏洞上,动作奇快。当然,今年早些时候,谷歌也曾两度披露微软未修复安全漏洞,让微软很是难堪。去年,微软发布博客文章,批评谷歌的安全漏洞披露是不负责任的——在微软准备打补丁之前,就曝出了重大Windows漏洞。上周,微软终于抓到机会,展示它认为的负责任披露是什么样的:在博客帖子中,微软描述了其上个月就发现,且在9月14号就通告谷歌的一个Chrome远程漏洞。微软攻击性安全研究(OSR)团队在帖子中说:“CVE-2017-5121的发现表明,现代浏览器中,是有可能出现可远程利用的漏洞的。Chrome在RCE缓解上的相对缺乏,意味着从内存崩溃漏洞到漏洞
发布时间:2017-10-23 19:25 | 阅读:95761 | 评论:0 | 标签:牛闻牛评 chrome 微软 漏洞披露 谷歌 漏洞

负责任的漏洞披露(VEP-style)是否有望成为国际准则?

前情提要 越来越多的国家仿效美国采取了负责任的漏洞披露&利弊权衡政策,原因之一是因为公众怀疑情报机构囤积了许多未公布的可能造成重大影响的漏洞,并要求情报机构做合理公正的披露。 根据已解密的文件可知,美国在2010年就开始实行一套漏洞披露政策(Vulnerability Equities Process,VEP),但直到2014年才公开披露了VEP的内容,目的是消除民众对国家安全局(National Security Agency,NSA)可能早已经秘密了解了Heartbleed漏洞细节的怀疑。 *注释:Heartbleed漏洞,又被称为“OpenSSL心脏出血漏洞”,2014年爆发,据称当时全球三分之二的网站受到影响,堪称互联网历史上最严重的安全漏洞之一。 现在,其他的民主国家也在效仿国家层面的漏
发布时间:2017-09-25 18:05 | 阅读:61021 | 评论:0 | 标签:观点 VEP 国家规范 情报服务 漏洞披露 漏洞

谷歌丝毫不给微软面子 公开Windows未打补丁漏洞

谷歌给了微软当头一击,在微软补丁尚未就位之前就披露了Windows漏洞。该漏洞可被攻击者利用来获取管理员权限。 谷歌威胁分析小组两位研究人员发布博客文章表示,披露的原因很简单:他们已经观测到有人在利用该漏洞了,所以,必须做点什么,现在、马上、立刻就做。 该漏洞编号CVE-2016-7855,谷歌是这么描述它的: Windows内核本地提权漏洞,可被用于安全沙箱逃逸。通过调用win32k.sys系统函数NtSetWindowLongPtr(),来设置GWL_STYLE为WS_CHILD的窗口的索引标识符GWLP_ID,该漏洞可被触发。 Chrome的沙箱能通过 Windows 10 上的Win32k锁定功能,来封锁win32k.sys系统调用,防止该沙箱逃逸漏洞被利用。 Adobe上周就已放出针对该漏洞的补丁—
发布时间:2016-11-02 16:10 | 阅读:80380 | 评论:0 | 标签:牛闻牛评 安全漏洞 微软 漏洞披露 谷歌 漏洞

通用汽车的网络安全秘诀

为了防止黑客攻破汽车,通用采取了一系列措施。在上周举行的 CES 大会上,通用汽车发布了一则不同寻常的公告。这家汽车巨头公开宣布了其安全漏洞及披露计划:将漏洞提交给通用汽车公司的黑客将不会受到法律指控。漏洞披露计划在硅谷十分常见,但在汽车世界非常罕见,只有特斯拉推出过类似计划。通用汽车刚刚与 Lyft 就无人驾驶汽车签订了一项开创性的协议。该项计划的幕后推动者,公司首席产品网络安全官杰夫·马希米拉(Jeff Massimilla)肩负的任务很复杂:让通用汽车为未来做好准备,并确保越来越依赖于计算机的汽车不受网络安全漏洞的困扰。媒体在 CES 大会后采访了马希米拉,他阐述了通用汽车目前面对的机遇与挑战。通用汽车为什么对网络安全感兴趣?马希米拉的职责是确保雪佛兰、别克、凯迪拉克等通用车系不会成为黑客容易下手的目标,
发布时间:2016-01-22 12:30 | 阅读:79268 | 评论:0 | 标签:动态 牛闻牛评 漏洞披露 通用汽车

漏洞到底应该怎样披露?

漏洞披露、漏洞奖励计划,甚至是漏洞市场营销已经成为整个安全生态环境的重要组成部分。但在漏洞披露机制及其产生的影响上,业界并没有统一和清晰的认识。漏洞细节披露益处和坏处孰重敦轻?漏洞奖励计划,它们合理吗?目前漏洞提交大致有四种情形:1. 不披露。如白帽子直接给各企业SRC提交的漏洞。2. 部分披露。360的补天平台仅仅公布漏洞类型、影响程序,并不会公布漏洞利用的技术细节。360补天依据互联网协会规定的漏洞披露和处置公约选择了部分披露的方式,主要目的是为了保护企业的利益,因为大量的漏洞在保护期后依然无法得到很好的修复,导致被再次利用的情况非常普遍,同时我们也通过更多的现金奖励和大量厂商共同参与奖励的办法,给白帽子带来切实的利益。除此之外。我们还会通过其他方式如360安全播报定期发布最新安全技术文章帮助白帽子在不披露
发布时间:2015-08-01 00:00 | 阅读:89057 | 评论:0 | 标签:牛观点 漏洞市场 漏洞披露 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云