Google Project Zero, un team di esperti di sicurezza impiegati dal gigante della ricerca con il compito di scovare le vulnerabilità del software zero day, ha aggiornato le sue linee guida sulla divulgazione delle vulnerabilità.
La politica aggiornata aggiunge una finestra extra di 30 giorni ad alcune rivelazioni di bug di sicurezza. Prima di questo, i ricercatori di Google avrebbero pubblicato i dettagli delle vulnerabilità sul loro bug tracker online alla fine di un periodo di 90 giorni o dopo che il bug fosse stato corretto.
Più tempo per la patch
Il mese aggiuntivo (circa) offre sia ai fornitori che agli utenti un po 'più di tempo per sviluppare, condividere e installare le patch necessarie per il proprio software prima che i dettagli della vulnerabilità vengano condivisi online. Questa è una buona notizia poiché nel momento in cui i dettagli della vulnerabilità vengono condivisi online potrebbero essere potenzialmente utilizzati come armi dagli aggressori.
Sebbene le patch siano state rilasciate più spesso dal momento in cui vengono pubblicati i dettagli della vulnerabilità, ciò dipende ancora dagli utenti che hanno installato le patch da soli. In alcuni casi, questa può essere un'attività che richiede molto tempo. I 30 giorni in più di Google sono quindi una buona notizia.
"L'obiettivo del nostro aggiornamento della politica 2021 è di rendere la tempistica di adozione delle patch una parte esplicita della nostra politica di divulgazione delle vulnerabilità", ha affermato Tim Willis di Project Zero Vendors in post sul blog descrivere il cambiamento. "I fornitori avranno ora 90 giorni per lo sviluppo delle patch e altri 30 giorni per l'adozione delle patch".
Project Zero estende inoltre il periodo di grazia aggiuntivo di 30 giorni a vulnerabilità zero day che vengono attivamente sfruttati contro gli utenti in natura. Sebbene la scadenza per la divulgazione sia di soli sette giorni per l'applicazione delle patch, i dettagli tecnici verranno pubblicati solo 30 giorni dopo la correzione, a condizione che il problema venga risolto dagli sviluppatori. In caso contrario, i dettagli tecnici verranno pubblicati immediatamente.
Anche le vulnerabilità estese a zero giorni
Queste nuove regole si applicheranno per il 2021, anche se le cose potrebbero cambiare di nuovo in futuro. Come osserva il post sul blog: "La nostra preferenza è quella di scegliere un punto di partenza che possa essere costantemente soddisfatto dalla maggior parte dei fornitori, e quindi abbassare gradualmente le tempistiche di sviluppo e di adozione delle patch".
Ottenere questo tipo di divulgazione corretta è un lavoro difficile, bilanciare i migliori interessi degli utenti con il tempo sufficiente per gli sviluppatori per sviluppare e rilasciare una patch. Come il team di Project Zero è chiaramente consapevole, si tratta di un'area che continuerà a essere ottimizzata con lo sviluppo di misure di sicurezza informatica e patch.
Per ora, tuttavia, sarebbe difficile suggerire che gli esperti di sicurezza di Google non stiano facendo la cosa giusta.
Credito immagine: Mitchell Luo /Unsplash CC
Aggiorna i tuoi sistemi Windows per proteggerti dalle vulnerabilità critiche.
Leggi Avanti
- Notizie tecniche
- Cybersecurity
Luke è un fan di Apple dalla metà degli anni '90. I suoi principali interessi che coinvolgono la tecnologia sono i dispositivi intelligenti e l'intersezione tra tecnologia e arti liberali.
Iscriviti alla nostra Newsletter
Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!
Ancora un passo…!
Conferma il tuo indirizzo e-mail nell'e-mail che ti abbiamo appena inviato.
