TippingPoint慶祝「零時差計畫」發起一週年並公佈未揭露之安全弱點處理資訊

TippingPoint (3Com公司旗下的領先業界入侵預防方案部門)慶祝零時差計畫(Zero Day Initiative; ZDI)成立一週年，並宣佈將開始在零時差計畫網站www.zerodayinitiative.com公佈所有尚未公開揭露之安全弱點的統計資訊。已向零時差計畫報告的未解決的安全問題總共有29項，目前正由受影響的廠商設法排除中。

為了減少安全弱點遭受惡意人士利用，零時差計畫僅公佈受影響的廠商名稱、TippingPoint向廠商報告安全威脅的日期、以及威脅嚴重性等級。該網站將不會提供相關安全弱點的技術細節和廠商的特定產品名稱，以保護這些受影響廠商的使用者。TippingPoint入侵預防系統(Intrusion Prevention System)客戶在ZDI向廠商報告安全問題的數天內，即可獲得針對這些未解決零時差安全威脅而建立的先制性防護。

ZDI入口網站自去年八月開設以來，已成功協助廠商解決30項零時差威脅，採取嚴格的保密措施，確保未知或未揭露之安全弱點的機密性，直到受影響的廠商提供解決方案或修補程式後才對外公開。這30項安全弱點有七項涉及廣泛使用中的Microsoft軟體產品。過去一年中，由ZDI發現之安全弱點的其他受影響廠商包括Mozilla、Symantec、Novell、Adobe和Apple等。

零時差計畫除了由原有的TippingPoint安全研究團隊(TippingPoint Security Research Team; TSRT)從事威脅研究之外，現在已吸引業界超過400位安全研究人員簽署參與，包含台灣的台灣電腦網路危機處理暨協調中心 (TW-Cert)也於今年加入此行列。TSRT透過TippingPoint網站分享尚未公開揭露之安全弱點的統計資訊，並且過去一年中已發現16項零時差安全弱點，包括三項和Microsoft有關的安全問題。目前仍有六項由TippingPoint研究團隊發現的安全問題等待相關廠商解決，並公佈於http://www.tippingpoint.com/security/upcoming_advisories.html。

TippingPoint北亞區業務總監葉精良表示：「過去一年中，零時差計畫研究人員提出的一項最重要建議，就是公佈未解決零時差威脅之廠商處理資訊以增加這項計畫的透明度。我們對於扮演介於安全廠商和研究人員之間的中介角色發展感到很滿意，我們的最終目的是要促進協同合作以協助保護廠商客戶免於遭受零時差威脅，同時確保研究人員獲得適當的獎賞。」

零時差計畫是由3Com及旗下的TippingPoint部門發起，目的是確保負責任的安全弱點揭露，確保使用者和企業都能享有更安全的科技。零時差安全弱點是一種未知或者已被公開但卻缺乏相應之修補程式或方案的安全弱點。

3Com透過這項計畫，獎賞發現並負責任地向3Com告知新零時差安全弱點的研究人員。然後，3Com將會通知受安全缺失影響的廠商，讓他們能夠立即開發解決方案，而研究人員也同意維護資訊機密性直到廠商對外公開修補方案為止，因此受到影響的組織將得以免除遭受攻擊的風險。在解決方案公開前，除了確保潛在威脅資訊的機密性，並保護所有使用者避免零時差攻擊之外，TippingPoint客戶還能藉由數位疫苗(Digital Vaccine®)服務所提供的安全過濾器，預防零時差安全弱點被惡意人士利用而發動攻擊。

關於30項已由廠商解決並提供修補方案的「ZDI安全弱點防護建議」完整清單請參見http://www.zerodayinitiative.com/advisories.html。TippingPoint安全研究團隊發現的安全弱點清單請參觀http://www.tippingpoint.com/security/published_advisories.html。

關於TippingPoint
TippingPoint屬於3Com部門，是領先業界的網路入侵預防系統(IPS)方案供應者。TippingPoint IPS是獲得最多業界獎賞的產品，完整獎賞清單請參見http://www.tippingpoint.com/products_certifications.html。TippingPoint的創新方案為客戶提供無與匹敵的網路安全性和經濟效益、超強效能、延展性和可靠性。TippingPoint總部位於德州奧斯丁，網址http://www.tippingpoint.com。

3Com 公司簡介
3Com是提供適合各種大小企業語音與資料網路解決方案的領導廠商，我們遍及全球的據點供應客戶領先業界的創新、實用和高價值語音與資料網路產品、服務與方案。詳細資訊請參閱網站 www.3com.com