Google Project Zero, o echipă de experți în securitate angajați de gigantul de căutare cu sarcina de a depista vulnerabilitățile software de zero zile, și-a actualizat liniile directoare de divulgare a vulnerabilităților.
Politica actualizată adaugă o fereastră suplimentară de 30 de zile la unele dezvăluiri de erori de securitate. Înainte de aceasta, cercetătorii Google publicau detalii despre vulnerabilități pe urmăritorul lor de erori online la sfârșitul unei ferestre de 90 de zile sau după ce eroarea a fost reparată.
Mai mult până la Patch
Luna suplimentară (aproximativ) oferă atât vânzătorilor, cât și utilizatorilor ceva mai mult timp de dezvoltat, partajat și instalați patch-urile necesare pentru software-ul lor înainte ca detaliile vulnerabilității să fie partajate online. Aceasta este o veste bună, deoarece în momentul în care detaliile vulnerabilității sunt distribuite online, ar putea fi potențial armate de atacatori.
Deși patch-urile au fost cel mai adesea lansate până la punctul în care sunt publicate detaliile vulnerabilității, aceasta se bazează totuși pe utilizatorii care au instalat ei înșiși patch-urile. În unele cazuri, aceasta poate fi o sarcină care necesită mult timp. Prin urmare, 30 de zile suplimentare de la Google reprezintă o veste bună.
„Obiectivul actualizării politicii noastre pentru 2021 este de a face ca calendarul de adoptare a patch-urilor să fie o parte explicită a politicii noastre de divulgare a vulnerabilităților”, a declarat Tim Willis de la Project Zero Vendors într-o postare pe blog descriind schimbarea. "Furnizorii vor avea acum 90 de zile pentru dezvoltarea patch-urilor și încă 30 de zile pentru adoptarea patch-urilor."
Proiectul Zero extinde în plus perioada de grație suplimentară de 30 de zile până la vulnerabilități de zi zero care sunt exploatate activ împotriva utilizatorilor în natură. În timp ce termenul limită de dezvăluire este de doar șapte zile pentru corecție, detaliile tehnice vor fi publicate doar la 30 de zile după soluționare, atâta timp cât problema este rezolvată de dezvoltatori. În caz contrar, detaliile tehnice vor fi publicate imediat.
Extinsă și la vulnerabilitățile Zero Day
Aceste noi reguli se vor aplica pentru 2021, deși lucrurile s-ar putea schimba din nou în viitor. După cum notează postarea de pe blog: „Preferința noastră este să alegem un punct de plecare care să poată fi îndeplinit în mod constant de majoritatea furnizorilor și apoi să scădem treptat atât termenele de dezvoltare a patch-urilor, cât și termenele de adoptare a patch-urilor.
Obținerea corectă a acestor tipuri de dezvăluiri este o treabă dificilă, echilibrarea intereselor superioare ale utilizatorilor cu acordarea dezvoltatorilor suficient timp pentru a dezvolta și lansa un patch. După cum este clar conștient de echipa Project Zero, este un domeniu care va continua să fie modificat pe măsură ce se dezvoltă măsurile de securitate cibernetică și patch-uri.
Deocamdată, însă, ați fi greu să sugerați că experții Google în securitate nu fac ceea ce trebuie.
Credit de imagine: Mitchell Luo /Unsplash CC
Actualizați-vă sistemele Windows pentru a vă proteja împotriva vulnerabilităților critice.
Citiți în continuare
- Știri tehnice
- Securitate cibernetică
Luke este fan Apple de la mijlocul anilor 1990. Principalele sale interese care implică tehnologia sunt dispozitivele inteligente și intersecția dintre tehnologie și artele liberale.
Aboneaza-te la newsletter-ul nostru
Alăturați-vă newsletter-ului pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!
Încă un pas…!
Vă rugăm să confirmați adresa de e-mail în e-mailul pe care tocmai vi l-am trimis.