A Google Project Zero, a keresési óriás alkalmazásában álló biztonsági szakértőkből álló csapat, amelynek feladata a nulla napos szoftveres sebezhetőségek felkutatása, frissítette a biztonsági rések közzétételére vonatkozó irányelveit.
A frissített házirend további 30 napos ablakot ad hozzá a biztonsági hibákkal kapcsolatos egyes információkhoz. Ezt megelőzően a Google kutatói egy 90 napos ablak végén vagy a hiba javítása után az online hibakeresőn közzéteszik a sérülékenység részleteit.
Hosszabb a javítás
A további hónap (hozzávetőlegesen) mind a gyártóknak, mind a felhasználóknak egy kicsit hosszabb időt ad fejlesztésre, megosztásra és telepítse a szoftverekhez szükséges javításokat, mielőtt a sebezhetőség részleteit online megosztanák. Ez jó hír, mivel abban a pillanatban, amikor a sebezhetőség részleteit online megosztják, a támadók potenciálisan fegyverre tehetik őket.
Bár a javításokat leggyakrabban a sérülékenység részleteinek közzétételére tették közzé, ez még mindig azon múlik, hogy a felhasználók maguk telepítették-e a javításokat. Bizonyos esetekben ez időigényes feladat lehet. A Google további 30 napja ezért jó hír.
"A 2021-es irányelv-frissítésünk célja, hogy a javítások elfogadásának ütemtervét a sebezhetőségre vonatkozó közzétételi politikánk kifejezett részévé tegyük" - mondta Tim Willis, a Project Zero Vendors blog bejegyzés leírva a változást. "Az eladónak most 90 nap áll rendelkezésére a javítások fejlesztésére, és további 30 nap áll rendelkezésre a javítások elfogadására."
A Project Zero emellett meghosszabbítja a további 30 napos türelmi időt nulla napos sebezhetőség amelyeket aktívan kihasználnak a vadonban élő felhasználók ellen. Míg a közzététel határideje csak hét nap a javításra, a technikai részletek csak 30 nappal a javítás után kerülnek közzétételre, amíg a problémát a fejlesztők kijavítják. Ha nem, akkor a technikai részleteket azonnal közzéteszik.
Kiterjesztve a Zero Day biztonsági réseire is
Ezek az új szabályok 2021-re érvényesek, bár a dolgok a jövőben újra megváltozhatnak. Amint a blogbejegyzés megjegyzi: "Előnyben részesítjük, hogy olyan kiindulási pontot válasszunk, amelynek a legtöbb gyártó következetesen megfelel, majd fokozatosan csökkentjük a javítások fejlesztésének és a javítások elfogadásának határidejét."
Az ilyen jellegű nyilvánosságra hozatal nehéz feladata, egyensúlyban tartva a felhasználók érdekeit azzal, hogy a fejlesztőknek elegendő idő áll rendelkezésre egy javítás fejlesztésére és kiadására. Amint a Project Zero csapata egyértelműen tisztában van vele, ez egy olyan terület, amelyet a kiberbiztonság és a javítási intézkedések fejlődése folytatja.
Egyelőre azonban nehéz lenne azt sugallni, hogy a Google biztonsági szakértői nem helyesen cselekszenek.
Kép jóváírás: Mitchell Luo /Unsplash CC
Frissítse Windows rendszerét, hogy megvédje a kritikus sebezhetőségektől.
Olvassa el a következőt
- Tech News
- Kiberbiztonság
Luke a 90-es évek közepe óta az Apple rajongója. A technológiával kapcsolatos fő érdekei az intelligens eszközök, valamint a technika és a szabad művészetek kereszteződése.
Iratkozzon fel hírlevelünkre
Csatlakozzon hírlevelünkhöz, amely műszaki tippeket, véleményeket, ingyenes e-könyveket és exkluzív ajánlatokat tartalmaz!
Még egy lépés…!
Kérjük, erősítse meg e-mail címét az imént elküldött e-mailben.