Google Project Zero, skupina varnostnih strokovnjakov, ki je zaposlena pri iskalnem giganu in se ukvarja z iskanjem ranljivosti programske opreme za nič dni, je posodobila smernice za razkrivanje ranljivosti.

Posodobljeni pravilnik dodaja 30-dnevno okno nekaterim razkritjem varnostnih napak. Pred tem so Googlovi raziskovalci objavili podrobnosti o ranljivostih na svojem spletnem sledilniku napak ob koncu 90-dnevnega okna ali po odpravi napake.

Dlje do popravka

Dodaten mesec (približno) daje tako prodajalcem kot uporabnikom nekoliko več časa za razvoj, skupno rabo in namestite potrebne popravke za svojo programsko opremo, preden se podrobnosti o ranljivosti delijo v spletu. To je dobra novica, saj bi lahko napadalci v trenutku, ko se podrobnosti o ranljivosti objavijo v spletu, potencialno oborožili.

Čeprav so popravki najpogosteje objavljeni s tem, da se objavijo podrobnosti o ranljivosti, to še vedno temelji na uporabnikih, ki so popravke namestili sami. V nekaterih primerih je to lahko dolgotrajna naloga. Googlovih dodatnih 30 dni je torej dobra novica.

instagram viewer

"Cilj naše posodobitve pravilnika za leto 2021 je, da postane časovni načrt za sprejetje popravkov ekspliciten del naše politike razkrivanja ranljivosti," je dejal Tim Willis iz Project Zero Vendors v objava v spletnem dnevniku opisuje spremembo. "Prodajalci bodo imeli zdaj 90 dni časa za razvoj popravkov in dodatnih 30 dni za prevzem popravkov."

Project Zero dodatno podaljša dodatno 30-dnevno obdobje odloga na ranljivosti nič dan ki se aktivno izkoriščajo proti uporabnikom v naravi. Čeprav je rok za razkritje le sedem dni za popravek, bodo tehnične podrobnosti objavljene šele 30 dni po popravku, dokler bodo težavo odpravili razvijalci. V nasprotnem primeru bodo tehnične podrobnosti takoj objavljene.

Razširjeno tudi na ranljivosti Zero Day

Ta nova pravila bodo veljala za leto 2021, čeprav bi se lahko stvari v prihodnosti spet spremenile. Kot je zapisano v prispevku v blogu: "Naša prednost je, da izberemo izhodišče, ki ga lahko večina prodajalcev dosledno izpolnjuje, nato pa postopoma znižujemo časovni razpored popravkov in sprejemanja popravkov."

Pravilno razkrivanje tovrstnih razkritij je težka naloga, saj se največji interes uporabnikov uskladi s tem, da se razvijalcem omogoči dovolj časa za razvoj in izdajo popravka. Ker se ekipa Project Zero jasno zaveda, se bo to področje še naprej spreminjalo, ko se bodo razvili ukrepi za kibernetsko varnost in popravke.

Za zdaj pa bi težko trdili, da Googlovi strokovnjaki za varnost ne delajo pravilno.

Avtor slike: Mitchell Luo /Unsplash CC

E-naslov
Microsoftov popravek v torek odpravlja Zero-Day Exploit in druge kritične napake

Posodobite svoje sisteme Windows, da se zaščitite pred kritičnimi ranljivostmi.

Preberite Naprej

Sorodne teme
  • Tehnične novice
  • Google
  • Spletna varnost
O avtorju
Luke Dormehla (128 objavljenih člankov)

Luke je ljubitelj Appla od sredine devetdesetih let. Njegov glavni interes, ki vključuje tehnologijo, so pametne naprave in stičišče med tehnologijo in svobodnimi umetnostmi.

Več od Luke Dormehla

Naročite se na naše novice

Pridružite se našemu glasilu za tehnične nasvete, preglede, brezplačne e-knjige in ekskluzivne ponudbe!

Še en korak…!

Potrdite svoj e-poštni naslov v e-poštnem sporočilu, ki smo vam ga pravkar poslali.

.