防堵零時差攻擊，微軟祭出新作法

微軟在美國黑帽大會上宣布，改變每個月漏洞修補日的發布流程，未來將會事先告知相關廠商漏洞訊息，以杜絕駭客發動零時差攻擊。
微軟每個月第2個星期二定期公布的漏洞修補，成為駭客作為零時差攻擊（Zero Day Attack）的溫床。微軟日前在美國黑帽大會（Black Hat）上宣布，將調整漏洞修補作法，提前告知合作的第三方廠商，藉此降低駭客透過逆向分析手法，找到系統漏洞，而藉此發動零時差攻擊。
這世上沒有完美的產品，所有產品都有改善的空間。對許多資安公司或獨立的資安研究員而言，發現漏洞、公布漏洞、修補漏洞是一個正常的漏洞修補程序。不過，目前業界對於弱點的揭露、公布以致修補的流程做法，並沒有共識。
微軟在黑帽大會上宣布，每個月第2個星期二安全性修補日的漏洞修補，至少會提前一天告知相關的合作伙伴或第三方合作廠商。中華電信資安技術研發組組長李倫銓表示：「微軟的作法是正確的，這有助於軟體供應商提升自我的安全性，又能降低企業遭受零時差衝擊的機率。」
李倫銓指出，以往就有駭客利用微軟定期發布修補程式的機會，透過特殊程式分析系統修補狀態，一旦知道系統修補了什麼弱點後，就直接寫出攻擊程式。「微軟的漏洞修補日，是被駭客利用來研發漏洞並發動攻擊的搖籃。」他說。
臺灣微軟伺服器平臺事業部資深產品行銷經理羅廷儀表示，以往微軟對於弱點揭露和後續的漏洞修補都比較被動，但現在微軟對於弱點揭露則抱持主動態度，「不論是網站或者是0800免費客服系統，都歡迎資安人員主動提供相關的漏洞資訊，微軟會有專門團隊進行後續的漏洞確認和追蹤。」她說。
阿碼科技（Armorize）執行長黃耀文表示，有很多廠商在面對資安研究員提出他們產品相關弱點時，很多公司第一件事情就是要求簽署NDA（不對外公布條約），不簽署NDA，廠商也不願意跟研究員進一步談論。黃耀文不諱言，他也曾經面對相同的情況。他說，對於資安研究員而言，發現各種弱點都是該研究員信譽的累積，面對廠商不願意面對可能的弱點揭露，只要求資安研究員封口的作法，不願意折衷出一個兩全其美的方式，都只會扼殺資安能量進一步的發展。羅廷儀則表示，目前微軟不再要求資安研究員簽署任何NDA。文⊙黃彥棻

新聞來源:
ITHOME