O Projeto Zero do Google agora está sendo mais atencioso com a forma como divulga vulnerabilidades de segurança


  

A equipe de cibersegurança do Project Zero do Google está testando uma nova política em que não divulgará vulnerabilidades de segurança logo após a correção. "90 dias completos por padrão, independentemente de quando o bug foi corrigido", é a nova política da equipe, que será testada por um ano antes de decidir se a adotará permanentemente.

Sob o sistema antigo, os pesquisadores do Project Zero dariam aos fornecedores 90 dias para corrigir um problema antes de tornar o problema público. No entanto, se um patch fosse emitido dentro dessa janela de 90 dias, seria divulgada a vulnerabilidade mais cedo. Isso pode ser um problema, porque significa que os usuários precisam se apressar para corrigir uma vulnerabilidade antes que os hackers possam explorá-la. Uma vulnerabilidade pode ser corrigida pela empresa, mas isso não importa se o patch não foi amplamente adotado.

Portanto, agora, independentemente de um patch ser emitido 20 dias ou 90 dias após o Project Zero informar um fornecedor sobre o problema, ele ainda aguardará 90 dias para tornar o problema público. Existem algumas exceções, no entanto. Uma é quando existe um "acordo mútuo" entre as duas empresas para divulgar com antecedência, e o Project Zero também pode estender o prazo por 14 dias, se levar mais tempo para um fornecedor montar um patch. O prazo de sete dias para vulnerabilidades que estão sendo exploradas na natureza permanecerá inalterado.

Além de dar mais tempo para que os patches sejam adotados, o Project Zero espera que a nova política melhore a consistência, dando aos fornecedores uma idéia melhor de quando uma vulnerabilidade será tornada pública. Ele também diz que está ansioso para ver patches mais iterativos e completos, graças ao tempo que os fornecedores terão agora entre um patch ser inicialmente emitido e a vulnerabilidade que ele aborda ao tornar-se pública.

Apesar das mudanças, a equipe do Project Zero diz estar muito feliz com o funcionamento do período de divulgação até agora. Em 2014, quando a equipe iniciou seu trabalho, diz que os bugs às vezes não eram corrigidos seis meses após serem descobertos. Agora, dos problemas identificados ( de que existem foram muitos ), afirma que 97,7% estão corrigidos dentro de sua janela de 90 dias.



Source link