大公司設立的漏洞賞金計劃旨在獎勵和表彰安全研究人員正確報告新漏洞和安全漏洞是一個很好的概念,但在實踐中並不總是得到妥善處理。安全研究員 Adam Zabrocki 最近分享了他在谷歌針對 Chrome 操作系統和英特爾的漏洞賞金處理中遇到的麻煩,這是一個 i915 Linux 內核圖形驅動程序漏洞。
Adam Zabrocki 是一名安全研究員,他最終發現了這個本月早些時候公開的英特爾 Linux“i915”內核圖形驅動程序漏洞。潛在的越界內存訪問可能會導致本地用戶的權限升級。他去年發現了這個問題,但隨後將其作為 Chrome OS 漏洞賞金計劃的一部分提交給了谷歌,因為英特爾顯卡通常用於 Chromebook。在製定 i915 內核驅動程序修復程序的過程中,他最終得到了 Google 和 Intel 的迴避,最初甚至沒有歸因於報告錯誤。
Zabrocki 根據他在 Google 和 Intel 的工作經驗,寫了一篇關於處理漏洞賞金的挑戰的長篇博文。這是一篇很長的讀物,但非常有趣,並概述了我不知道的漏洞賞金處理領域。
在 Zabrocki 分享的經驗教訓中:
“我在漏洞賞金方面的經歷比我預期的要糟糕得多。尤其是谷歌的態度是永遠保持沉默,直到事情變得非常糟糕/明顯錯誤。然後,他們試圖把所有的責任都推給英特爾,並說服我這不是他們的問題,即使錯誤已報告給他們,而且他們處理溝通的方式非常好(!)。作為一名研究人員,你能做什麼?什麼都沒有。
Intel 搞砸了,但他們盡力修復他們搞砸的東西(以及當時仍然可以修復的東西)。與 Google 的態度相反,Intel 沒有責怪任何人,他們也沒有嘗試
值得一提的是,英特爾就此案的處理方式正式道歉:“(……)我們想就此案的處理方式道歉已處理。我們理解與我們來回的來回是令人沮喪和漫長的過程。 (……)”。然而,谷歌方面並沒有發生這樣的事情。
如果從可利用性的角度來看這個錯誤真的很有價值,那麼最好的選擇似乎仍然是清除舊的代理聯繫人(如果我們將道德問題放在一邊)。他們從來沒有失敗過這麼多(至少那是我的經驗),即使他們也不理想。
順便說一句。公平地說,也有漏洞賞金計劃的積極例子”
在他的 博客。