A Google Project Zero, a keresési óriás alkalmazásában álló biztonsági szakértőkből álló csapat, amelynek feladata a nulla napos szoftveres sebezhetőségek felkutatása, frissítette a biztonsági rések közzétételére vonatkozó irányelveit.

A frissített házirend további 30 napos ablakot ad hozzá a biztonsági hibákkal kapcsolatos egyes információkhoz. Ezt megelőzően a Google kutatói egy 90 napos ablak végén vagy a hiba javítása után az online hibakeresőn közzéteszik a sérülékenység részleteit.

Hosszabb a javítás

A további hónap (hozzávetőlegesen) mind a gyártóknak, mind a felhasználóknak egy kicsit hosszabb időt ad fejlesztésre, megosztásra és telepítse a szoftverekhez szükséges javításokat, mielőtt a sebezhetőség részleteit online megosztanák. Ez jó hír, mivel abban a pillanatban, amikor a sebezhetőség részleteit online megosztják, a támadók potenciálisan fegyverre tehetik őket.

Bár a javításokat leggyakrabban a sérülékenység részleteinek közzétételére tették közzé, ez még mindig azon múlik, hogy a felhasználók maguk telepítették-e a javításokat. Bizonyos esetekben ez időigényes feladat lehet. A Google további 30 napja ezért jó hír.

"A 2021-es irányelv-frissítésünk célja, hogy a javítások elfogadásának ütemtervét a sebezhetőségre vonatkozó közzétételi politikánk kifejezett részévé tegyük" - mondta Tim Willis, a Project Zero Vendors blog bejegyzés leírva a változást. "Az eladónak most 90 nap áll rendelkezésére a javítások fejlesztésére, és további 30 nap áll rendelkezésre a javítások elfogadására."

A Project Zero emellett meghosszabbítja a további 30 napos türelmi időt nulla napos sebezhetőség amelyeket aktívan kihasználnak a vadonban élő felhasználók ellen. Míg a közzététel határideje csak hét nap a javításra, a technikai részletek csak 30 nappal a javítás után kerülnek közzétételre, amíg a problémát a fejlesztők kijavítják. Ha nem, akkor a technikai részleteket azonnal közzéteszik.

Kiterjesztve a Zero Day biztonsági réseire is

Ezek az új szabályok 2021-re érvényesek, bár a dolgok a jövőben újra megváltozhatnak. Amint a blogbejegyzés megjegyzi: "Előnyben részesítjük, hogy olyan kiindulási pontot válasszunk, amelynek a legtöbb gyártó következetesen megfelel, majd fokozatosan csökkentjük a javítások fejlesztésének és a javítások elfogadásának határidejét."

Az ilyen jellegű nyilvánosságra hozatal nehéz feladata, egyensúlyban tartva a felhasználók érdekeit azzal, hogy a fejlesztőknek elegendő idő áll rendelkezésre egy javítás fejlesztésére és kiadására. Amint a Project Zero csapata egyértelműen tisztában van vele, ez egy olyan terület, amelyet a kiberbiztonság és a javítási intézkedések fejlődése folytatja.

Egyelőre azonban nehéz lenne azt sugallni, hogy a Google biztonsági szakértői nem helyesen cselekszenek.

Kép jóváírás: Mitchell Luo /Unsplash CC

Email
A Microsoft javító keddje javítja a nulla napos kihasználást és egyéb kritikus hibákat

Frissítse Windows rendszerét, hogy megvédje a kritikus sebezhetőségektől.

Olvassa el a következőt

Kapcsolódó témák
  • Tech News
  • Google
  • Kiberbiztonság
A szerzőről
Luke Dormehl (128 közzétett cikk)

Luke a 90-es évek közepe óta az Apple rajongója. A technológiával kapcsolatos fő érdekei az intelligens eszközök, valamint a technika és a szabad művészetek kereszteződése.

Többet Luke Dormehl-től

Iratkozzon fel hírlevelünkre

Csatlakozzon hírlevelünkhöz, amely műszaki tippeket, véleményeket, ingyenes e-könyveket és exkluzív ajánlatokat tartalmaz!

Még egy lépés…!

Kérjük, erősítse meg e-mail címét az imént elküldött e-mailben.

.