全体の目的 脆弱性開示の目的は、ソフトウェア開発者にコードの欠陥を通知して、修正プログラムやパッチを作成し、製品のセキュリティを改善できるようにすることです。 しかし、17 年間にわたって 10,000 件を超える脆弱性が公開された後、Zero Day Initiative は本日、ラスベガスで開催された Black Hat セキュリティ カンファレンスで「不穏な傾向」を呼び起こし、何らかの対抗圧力をかける計画を発表しました。
2015 年からセキュリティ企業のトレンド マイクロが所有している ZDI は、脆弱性の調査結果を研究者から購入し、ベンダーへの開示を処理するプログラムです。 引き換えに、ウイルス対策ツールやその他の防御製品を製造しているトレンドマイクロは、研究を追跡し、できれば顧客を保護するために使用できる豊富な情報とテレメトリを取得します. このグループは、今年これまでに約 1,700 件の開示を処理したと推定しています。 しかし、ZDI によると、鳥瞰的な視点から見ると、ベンダー パッチ全体の品質は近年低下しているという。
グループが研究者からバグを購入してパッチを適用し、その後すぐに ZDI がパッチをバイパスする方法に関する別のレポートを購入することがますます多くなり、場合によっては複数回のパッチ適用と回避が行われます。 ZDI はまた、企業が公開セキュリティ アラートで脆弱性に関するあまり具体的な情報を開示していないという憂慮すべき傾向に気付いたとも述べています。これにより、世界中のユーザーが脆弱性がどれほど深刻であるかを評価し、パッチの優先順位付けを策定することがより困難になっています。および重要なインフラストラクチャ。
「ここ数年、セキュリティ パッチの品質が著しく低下していることに気付きました」と、ZDI メンバーのダスティン チャイルズは言います。 「不完全または不完全なパッチを持っていることに対する責任はありません。」
ZDI の研究者によると、不良パッチはさまざまな理由で発生します。 ソフトウェアの欠陥を修正する方法を理解することは、微妙でデリケートなプロセスになる可能性があり、企業には専門知識が不足していたり、これらの重要な問題に対する洗練されたソリューションを生み出すための投資を行っていないことがあります。 組織は、バグ レポートをクローズし、スレートをクリアすることを急いでいる可能性があり、より深い問題を包括的に修正できるように、「根本原因」または「バリアント」分析を実施して根本的な問題を評価するのに必要な時間を割いていない可能性があります。
理由に関係なく、パッチの不良は大きな懸念事項です。 6 月末、Google の Project Zero バグハンティング チームは 報告 2022 年にこれまでに追跡した、実際に悪用されている新しい脆弱性のうち、少なくとも半分は、以前にパッチが適用された欠陥の亜種です。
ZDI を運営する Brian Gorenc は次のように述べています。
Project Zero など、開示に深く関与している他の組織と同様に、ZDI は、問題の脆弱性に関する詳細が公開される前に、パッチを発行しなければならない期限を開発者に与えています。 ZDI の標準期限は、開示から 120 日です。 しかし、悪いパッチの蔓延に対応して、今日、グループは以前にパッチされたバグの新しい一連の締め切りを発表しました.
欠陥の重大度、パッチを回避するのがどれだけ簡単か、および脆弱性が攻撃者によって悪用される可能性がどの程度であるかに応じて、グループは現在、重大な欠陥については 30 日間、バグについては 60 日間の期限を設定します。既存のパッチはある程度の保護を提供しますが、それ以外の場合は 90 日です。 この動きは、世界中のユーザーに影響を与える可能性のあるリスクの高いソフトウェアの欠陥に開発者が対処する方法に必要な改善を促すために、セキュリティ支持者が持っている数少ないレバレッジの重要なポイントとして公開情報を使用するという伝統に従っています。
ZDI のチャイルズ氏は、「さまざまな脆弱性に対する失敗したパッチの武器化は、現在、間違いなく実際に使用されています」と述べています。 「これはユーザーに実際の結果をもたらす現実の問題であり、ベンダーが最初から問題を解決するよう奨励しようとしています。」