谷歌的漏洞公开灾难
谷歌近日公开了一个未修复的 Chromium 漏洞利用代码,距离漏洞首次报告已经过去了 42 个月。这个错误让数百万 Chrome、Edge 以及其他 Chromium 内核浏览器用户暴露在风险中。
漏洞本身很严重:攻击者可以通过恶意网页执行任意代码。一旦用户访问了攻击者控制的页面,攻击者就能完全控制用户的浏览器,进而访问其在线账户、密码、支付信息。
42 个月的沉默
漏洞是 2022 年 12 月由安全研究员向谷歌报告的。按照行业惯例,厂商有 90 天时间来修复漏洞,然后研究员可以公开漏洞细节。但谷歌没有在 90 天内修复,却也没有继续沟通。
42 个月的时间里,这个漏洞一直存在于 Chromium 代码库中。攻击者可以随时利用它,而普通用户毫不知情。谷歌的沉默不是疏忽,而是决策——也许是因为漏洞修复复杂,也许是因为还有其他优先事项。
公开后的混乱
谷歌最终公开了漏洞利用代码,但这时候距离漏洞报告已经过去三年多。公开的原因是漏洞已经部分被修复,谷歌认为风险已经降低。但安全社区不买账——公开利用代码本身就给了攻击者武器。
现在所有基于 Chromium 的浏览器都受到影响。Chrome、Edge、Brave、Opera,以及无数小众浏览器,只要用的是 Chromium 内核,都面临同样风险。浏览器厂商只能自己想办法。
信任的裂痕
这起事件暴露了谷歌漏洞处理流程的问题。42 个月的修复周期、未经协调的公开、模糊的风险说明,都让用户感到困惑。谷歌既是浏览器的开发者,又是漏洞的发现者和公开者,这种角色冲突难以解释。
对于普通用户来说,能做的有限:及时更新浏览器、使用广告拦截器减少恶意页面访问、避免点击不明链接。但根本的解决方案是用户需要意识到,没有任何软件是绝对安全的。
漏洞经济的警示
这起事件暴露了漏洞经济的冰山一角。42 个月的修复周期、未经协调的公开、模糊的风险说明,每一个环节都有问题。用户在享受免费软件的同时,也在承担隐藏的风险。
企业需要重新审视漏洞披露流程。90 天的截止日期不是摆设,而是保护用户的底线。否则,类似的事件还会继续发生。
生态系统的脆弱性
Chromium 的漏洞影响如此之大,是因为它已经成为了互联网的基础设施。Chrome、Edge、Brave,无数浏览器基于 Chromium,任何一个漏洞都可能影响数亿人。
这种集中带来了便利,也带来了风险。一个公司的决定会影响整个互联网的安全。我们需要思考:这是不是我们想要的互联网架构?