adv

致长期以来一直关注solidot的海内外朋友,请点击这里查看。
安全
pigsrollaroundinthem(39396)
发表于2018年03月13日 19时54分 星期二
来自党国需要
Recorded Future 公司跟踪了中国国家漏洞数据库(国家互联网应急中心的国家信息安全漏洞共享平台)的漏洞发表速度和漏洞发表日期,发现其漏洞发表流程可能受到了情报机构的影响。中国国家漏洞数据库比美国的同类机构披露漏洞的速度更快也更全面,原因是中国从多个来源收集漏洞信息,而美国则是供应商递交漏洞报告。但 Recorded Future 发现,部分高影响漏洞或已知利用的漏洞披露时间推迟了数天甚至数周,反而是美国漏洞数据库披露此类漏洞的速度更快。其中一个漏洞中国在八个月后才公开。研究人员认为可能是中国情报机构考虑将这些漏洞用于攻击。Recorded Future 还发现,中国修改了至少 267 个漏洞的原始发表日期,其中一个 Microsoft Office 漏洞后来被中国 APT 组织利用,另一个例子是一个能被用于国内监视的 Android 固件后门漏洞。研究人员称这种大规模纂改漏洞数据的做法破坏了对中国国家漏洞数据库的信任。