Google Project Zero, et team av sikkerhetseksperter ansatt av søkegiganten med jobben med å jakte på null dagers programvaresårbarhet, har oppdatert retningslinjene for avsløring av sårbarheter.

Den oppdaterte policyen legger til et ekstra 30-dagers vindu for noen avsløringer om sikkerhetsfeil. Før dette ville Google-forskere publisere detaljer om sårbarheter på deres online bug tracker på slutten av et 90-dagers vindu, eller etter at feilen ble lappet.

Lengre å lappe

Den ekstra måneden (omtrent) gir både leverandører og brukere litt lengre tid å utvikle, dele og installer de nødvendige oppdateringene for programvaren før detaljer om sårbarheten deles online. Dette er gode nyheter siden øyeblikket sårbarhetsdetaljer deles online, kan de potensielt bli våpen av angripere.

Selv om oppdateringer oftest har blitt utgitt av det punktet at sårbarhetsdetaljer blir publisert, er det fortsatt avhengig av at brukere har installert oppdateringene selv. I noen tilfeller kan dette være en tidskrevende oppgave. Googles ekstra 30 dager er derfor gode nyheter.

instagram viewer

"Målet med 2021-policyoppdateringen vår er å gjøre tidslinjen for adopsjon av lapp en eksplisitt del av vår politikk om sårbarhetsinformasjon," sa Tim Willis fra Project Zero Vendors i en blogg innlegg beskriver endringen. "Leverandører vil nå ha 90 dager på patchutvikling, og ytterligere 30 dager på adopsjon av patch."

Project Zero utvider i tillegg den ekstra 30-dagers avdragsperioden til null dagers sårbarheter som blir utnyttet aktivt mot brukere i naturen. Mens avsløringsfristen bare er sju dager for oppdatering, vil tekniske detaljer kun bli publisert 30 dager etter reparasjonen så lenge problemet er løst av utviklere. Hvis ikke, vil tekniske detaljer bli publisert umiddelbart.

Utvidet til null sårbarheter, også

Disse nye reglene vil gjelde for 2021, selv om ting kan endre seg i fremtiden. Som blogginnlegget bemerker: "Vår preferanse er å velge et utgangspunkt som konsekvent kan oppfylles av de fleste leverandører, og deretter gradvis senke tidslinjene for utvikling av oppdateringer og oppdateringer."

Det er en tøff jobb å få denne typen avsløringer riktig, og balansere brukernes interesser med å gi utviklere tilstrekkelig tid til å utvikle og slippe en oppdatering. Som Project Zero-teamet er tydelig klar over, er det et område som vil fortsette å bli justert når cybersikkerhet og oppdateringstiltak utvikler seg.

For nå, skjønt, vil du være hardt presset til å antyde at Googles sikkerhetseksperter ikke gjør det rette.

Bildekreditt: Mitchell Luo /Unsplash CC

E-post
Microsofts Patch Tuesday løser Zero-Day Exploit og andre kritiske feil

Oppdater Windows-systemene dine for å beskytte mot kritiske sårbarheter.

Les Neste

Relaterte temaer
  • Tekniske nyheter
  • Google
  • Cybersikkerhet
Om forfatteren
Luke Dormehl (128 artikler publisert)

Luke har vært Apple-fan siden midten av 1990-tallet. Hans viktigste interesser som involverer teknologi er smarte enheter og skjæringspunktet mellom teknologi og liberal arts.

Mer fra Luke Dormehl

Abonner på vårt nyhetsbrev

Bli med på nyhetsbrevet vårt for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!

Ett steg til…!

Bekreft e-postadressen din i e-posten vi nettopp sendte deg.

.