Гоогле Пројецт Зеро, тим безбедносних стручњака запослених у гиганту за претрагу који раде на лову на софтверске рањивости нула дана, ажурирао је своје смернице за откривање рањивости.
Ажуриране смернице додају додатних 30 дана за откривање неких грешака у безбедности. Пре овога, Гоогле истраживачи би објавили детаље о рањивостима на свом мрежном програму за праћење грешака на крају 90-дневног прозора или након што је грешка закрпана.
Дуже за закрпу
Додатни месец (приближно) даје и добављачима и корисницима нешто више времена за развој, дељење и инсталирајте потребне закрпе за свој софтвер пре него што се детаљи о рањивости размене на мрежи. Ово су добре вести, јер чим се детаљи о рањивости размене на мрежи, нападачи могу потенцијално да их оружају.
Иако су закрпе најчешће објављене тиме што се детаљи о рањивости објављују, то се и даље ослања на кориснике који су сами инсталирали закрпе. У неким случајевима ово може бити дуготрајан задатак. Гооглеових додатних 30 дана су зато добре вести.
„Циљ нашег ажурирања политике за 2021. годину је да временски распоред усвајања закрпа постане експлицитни део наше политике откривања рањивости“, рекао је Тим Виллис из Пројецт Зеро Вендорс у блог пост описујући промену. „Продавци ће сада имати 90 дана за развој закрпе и додатних 30 дана за усвајање закрпа.“
Пројецт Зеро додатно продужава додатни грејс период од 30 дана на рањивости нула дана који се активно експлоатишу против корисника у дивљини. Иако је рок за откривање само седам дана за поправљање, технички детаљи ће бити објављени само 30 дана након исправке, све док проблем реше корисници. Ако не, технички детаљи ће бити објављени одмах.
Проширено и на рањивости нултог дана
Ова нова правила примењиваће се за 2021. годину, мада би се ствари могле поново променити у будућности. Као што објава у блогу примећује: „Наша предност је да одаберемо полазну тачку која може бити доследно испуњена од већине добављача, а затим постепено спуштамо временске оквире за развој закрпа и усвајање закрпа.“
Исправљање ове врсте обелодањивања тежак је посао, усклађујући најбоље интересе корисника и пружајући програмерима довољно времена да развију и пусте закрпу. Како је тим Пројецт Зеро очигледно свестан, то је подручје које ће се и даље усавршавати како се буду развијале мере сајбер безбедности и закрпа.
За сада бисте, међутим, тешко могли да претпоставите да Гоогле-ови стручњаци за безбедност не раде исправно.
Кредит за слику: Митцхелл Луо /Унспласх ЦЦ
Ажурирајте своје Виндовс системе да бисте се заштитили од критичних рањивости.
Прочитајте следеће
- Тецх Невс
- Гоогле
- Циберсецурити
Луке је фан Аппле-а од средине 1990-их. Његова главна интересовања која укључују технологију су паметни уређаји и пресек технологије и слободне уметности.
Претплатите се на наш билтен
Придружите се нашем билтену за техничке савете, прегледе, бесплатне е-књиге и ексклузивне понуде!
Још један корак…!
Молимо потврдите своју адресу е-поште у е-поруци коју смо вам управо послали.