了解 Google Project Zero 在軟體安全中的作用
Google Project Zero 是一個傑出的安全團隊,致力於識別包括 Google 在內的各家供應商軟體產品中的漏洞。他們獨特的揭露流程包括私下通知供應商安全問題,並給予供應商 90 天的時間來開發和發布修補程式。在某些情況下,可能會提供額外的 30 天寬限期。
這種方法背後的原理很簡單:當安全威脅即將被公開揭露時,企業會受到激勵,加快回應速度。多年來,Project Zero 已記錄了多個平台的漏洞,包括 Windows、ChromeOS 和 Linux CentOS。最近,該團隊因在一個廣泛使用的 GNOME 庫中發現一個安全問題而登上頭條新聞。
Libxslt:GNOME 的關鍵組件
libxslt函式庫基於 libxml2 框架構建,是 GNOME 專案下開源軟體生態系統的重要組成部分。此程式庫透過可擴充樣式表語言轉換 (XSLT) 實現 XML 文件的轉換。其應用範圍廣泛,從將 XML 轉換為 Web 瀏覽器可用的 HTML,到在辦公室軟體中渲染內容,不一而足。值得注意的是,它已被整合到各種應用程式中,包括 PHP 和 Python Web 實作、Doxygen、Gnumeric 以及 GNOME 幫助系統。
近期發現的漏洞
幾個月前,Google Project Zero 發現了 libxslt 中的一個嚴重漏洞,並於 2025 年 5 月 6 日私下將此問題告知了 GNOME 團隊。作為其標準協議的一部分,他們提供了 90 天的修復期。如果您對技術細節感興趣,可以在此處找到有關漏洞的詳細資訊。總而言之,該漏洞是一個釋放後使用 (UAF) 問題,源自於特定條件下對結果值樹 (RVT) 的不當管理。此漏洞存在重大風險,可能使系統面臨惡意程式碼執行的風險,並導致因段錯誤而導致的軟體崩潰。
Google Project Zero 指定的嚴重性等級反映了該缺陷的潛在影響:優先級分類為 P2,嚴重性等級為 S2,表明雖然該問題屬於中等嚴重程度,但它可能會對相關應用程式產生重大影響。
GNOME 的持續響應
為了回應 Project Zero 的發現,GNOME 也密切追蹤了所報告的 bug,並在標準揭露期結束後將其公開。在查看討論帖後發現,雖然正在努力創建補丁,但由於一些可能破壞其他組件的複雜因素,進展受到了阻礙。此外,libxslt 缺乏積極的維護者也令人擔憂,據報道,其原始創建者 Daniel Veillard 已數月未回覆。這增加了上游補丁可能永遠無法實現的可能性,最終導致下游系統不得不「自生自滅」。
結論:情勢複雜
目前圍繞該漏洞的情況錯綜複雜。谷歌在90天期限過後公開揭露了該漏洞,而GNOME卻未提出異議,凸顯了一個嚴峻的現實。由於缺乏專門的維護人員,該專案只能承受未解決問題的後果,而該漏洞目前已公開發布,並附帶概念驗證 (PoC) 程式碼,這給網路犯罪分子利用該漏洞帶來了巨大的風險。
發佈留言