了解 Google Project Zero 在软件安全中的作用
Google Project Zero 是一个杰出的安全团队,致力于识别包括 Google 在内的各家供应商软件产品中的漏洞。他们独特的披露流程包括私下通知供应商安全问题,并给予供应商 90 天的时间来开发和发布补丁。在某些情况下,可能会提供额外的 30 天宽限期。
这种方法背后的原理很简单:当安全威胁即将被公开披露时,企业会受到激励,加快响应速度。多年来,Project Zero 已记录了多个平台的漏洞,包括 Windows、ChromeOS 和 Linux CentOS。最近,该团队因在一个广泛使用的 GNOME 库中发现一个安全问题而登上头条新闻。
Libxslt:GNOME 的关键组件
libxslt库基于 libxml2 框架构建,是 GNOME 项目下开源软件生态系统的重要组成部分。该库通过可扩展样式表语言转换 (XSLT) 实现 XML 文档的转换。其应用范围广泛,从将 XML 转换为 Web 浏览器可用的 HTML,到在办公软件中渲染内容,不一而足。值得注意的是,它已被集成到各种应用程序中,包括 PHP 和 Python Web 实现、Doxygen、Gnumeric 以及 GNOME 帮助系统。
近期发现的漏洞
几个月前,Google Project Zero 发现了 libxslt 中的一个严重漏洞,并于 2025 年 5 月 6 日私下将此问题告知了 GNOME 团队。作为其标准协议的一部分,他们提供了 90 天的修复期。如果您对技术细节感兴趣,可以在此处找到有关该漏洞的详细信息。总而言之,该漏洞是一个释放后使用 (UAF) 问题,源于特定条件下对结果值树 (RVT) 的不当管理。此漏洞存在重大风险,可能使系统面临恶意代码执行的风险,并导致因段错误而导致的软件崩溃。
Google Project Zero 指定的严重性等级反映了该缺陷的潜在影响:优先级分类为 P2,严重性等级为 S2,表明虽然该问题属于中等严重程度,但它可能会对相关应用程序产生重大影响。
GNOME 的持续响应
为了响应 Project Zero 的发现,GNOME 也密切跟踪了所报告的 bug,并在标准披露期结束后将其公开。查看讨论帖后发现,虽然正在努力创建补丁,但由于一些可能破坏其他组件的复杂因素,进展受到了阻碍。此外,libxslt 缺乏积极的维护者也令人担忧,据报道,其原始创建者 Daniel Veillard 已数月未回复。这增加了上游补丁可能永远无法实现的可能性,最终导致下游系统不得不“自生自灭”。
结论:形势复杂
目前围绕该漏洞的形势错综复杂。谷歌在90天期限过后公开披露了该漏洞,而GNOME却未提出异议,这凸显了一个严峻的现实。由于缺乏专门的维护人员,该项目只能承受未解决问题带来的后果,而该漏洞目前已公开发布,并附带概念验证 (PoC) 代码,这给网络犯罪分子利用该漏洞带来了巨大的风险。
发表回复