谷歌 Project Zero 團隊宣佈新政策，漏洞披露前將有完整的 90 天緩衝期

谷歌 Project Zero 團隊以披露大量嚴重漏洞而被人們所熟知，但也因為嚴格的快速披露政策而遭到了行業內的批評。

於是 2020 年的時候，谷歌安全團隊試圖制定新的政策，將問題披露的寬限期給足了整整 90 天。即便如此，谷歌還是對過去五年的政策表現感到滿意，指出有 97.9% 的漏洞報告在當前的 90 天披露政策下得到了有效的修復。

相比之下，2014 年有些 bug 拖了六個月、甚至更長的時間來解決。不過在審查了“複雜且經常引起爭議”的漏洞披露政策之後，谷歌還是決定在 2020 年做出一些改變。

那些易被曝光漏洞的企業，將被給予預設 90 天的緩衝時間，而無論其將於何時修復相關 bug 。

若企業順利或提前完成了修復，也可以與谷歌 Project Zero 取得聯絡，以提前公佈漏洞詳情。

• 廠家在 20 天內修復了 bug？谷歌將在第90天公佈漏洞詳情；
• 廠家在 90 天內修復了 bug？谷歌也將在第 90 天公佈漏洞詳情！

當然，在爭取推動“更快的補丁開發”流程的同時，Project Zero 還希望全面提升補丁程式的採用率。

現有政策下，谷歌希望供應商能夠快速開發補丁，並制定適當的流程，以將之交付給最終客戶，我們將繼續緊迫地追求這一點。

然而有太多次，供應商只是簡單的記錄了漏洞，而不考修改或從根本上修復已曝光的漏洞。有鑑於此，Project Zero 團隊希望推動更快的補丁開發，以防別有用心者輕易地向使用者發動大大小小的攻擊。

改進後的新政策指出，發現漏洞之後，終端使用者的安全性不會就此得到改善，直到 bug 得到適當的修復。只有終端使用者意識到相關 bug，並在他們的裝置上實施了修補，才能夠從漏洞修復中得到益處。

最後，在新政策轉入“長期實施”之前，Google 將給予 12 個月的試用。

來源：cnBeta.COM

更多資訊

報告：虛擬貨幣詐騙人均損失超13萬 殺豬盤成高頻詐騙手段

基於360獵網平臺2019年收到的近兩萬條有效詐騙舉報，360企業安全集團、360獵網平臺釋出了《2019年網路詐騙趨勢研究報告》（以下簡稱報告）。

報告顯示虛擬貨幣帶來的詐騙已經成為金融詐騙的主流，造成人均損失超過13萬元；而殺豬盤則是近年來高發的網路詐騙手段。

來源：鳳凰網科技
詳情連結：https://www.dbsec.cn/blog/article/5700.html 

Chrome 將以更“安靜”的方式來替代通知彈窗

如今，使用者即使不與網站互動也能夠收到訊息。

也正因如此，越來越多的網站會在使用者訪問時傳送請求訂閱的彈窗，這一功能導致不良的使用者體驗，遭致人們的抱怨。

為了解決該問題，Google 宣佈，從 Chrome 80 版本開始，將以一種更“安靜”的通知許可權 UI 來取代現有的彈窗形式，以減少通知許可權請求的干擾。

來源：開源中國
詳情連結：https://www.dbsec.cn/blog/article/5701.html 

工信部通報第二批侵害使用者權益 App 瑞幸拉勾天涯等在列

今日，工信部發布了第二批侵害使用者權益行為APP名單。

工信部稱，上述 APP 應在 2020 年 1 月 17 日前完成整改落實工作，逾期不整改的，工信部將依法依規組織開展相關處置工作。

來源：工信部網站
詳情連結：https://www.dbsec.cn/blog/article/5702.html 

超 500 萬臺新手機被植入木馬病毒？涉及 31 省市、超 4500 種機型

在網路上有些人專門蒐集各類商家的優惠資訊，註冊後領取各類優惠券、獎勵金。

人們把這種行為稱為“薅羊毛”。要想“薅羊毛”，就要註冊，註冊就需要手機號和驗證碼。

在利益的驅動下，有人開始對手機動起了“歪腦筋”。

來源：經濟半小時
詳情連結：https://www.dbsec.cn/blog/article/5703.html 

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視