Το Google Project Zero, μια ομάδα εμπειρογνωμόνων ασφαλείας που απασχολεί ο γίγαντας αναζήτησης με τη δουλειά να κυνηγάει τις ευπάθειες λογισμικού μηδενικής ημέρας, ενημέρωσε τις οδηγίες αποκάλυψης ευπάθειας.

Η ενημερωμένη πολιτική προσθέτει ένα επιπλέον παράθυρο 30 ημερών σε ορισμένες αποκαλύψεις σφαλμάτων ασφαλείας. Πριν από αυτό, οι ερευνητές της Google θα δημοσιεύσουν λεπτομέρειες σχετικά με τις ευπάθειες στο διαδικτυακό πρόγραμμα εντοπισμού σφαλμάτων στο τέλος ενός παραθύρου 90 ημερών ή μετά την επιδιόρθωση του σφάλματος.

Μεγαλύτερη έως ενημέρωση κώδικα

Ο επιπλέον μήνας (περίπου) δίνει τόσο στους προμηθευτές όσο και στους χρήστες λίγο περισσότερο να αναπτύξουν, να μοιραστούν και να εγκαταστήστε τις απαραίτητες ενημερώσεις κώδικα για το λογισμικό τους προτού κοινοποιηθούν λεπτομέρειες σχετικά με την ευπάθεια στο διαδίκτυο. Αυτά είναι καλά νέα από τη στιγμή που οι λεπτομέρειες ευπάθειας κοινοποιούνται στο διαδίκτυο, θα μπορούσαν ενδεχομένως να οπλιστούν από επιτιθέμενους.

Αν και οι ενημερώσεις κώδικα έχουν κυκλοφορήσει συχνότερα από το σημείο που δημοσιεύονται οι λεπτομέρειες ευπάθειας, αυτό εξακολουθεί να βασίζεται σε χρήστες που έχουν εγκαταστήσει οι ίδιοι τις ενημερώσεις κώδικα. Σε ορισμένες περιπτώσεις, αυτό μπορεί να είναι μια χρονοβόρα εργασία. Οι επιπλέον 30 ημέρες της Google είναι επομένως καλά νέα.

instagram viewer

"Ο στόχος της ενημέρωσης πολιτικής μας για το 2021 είναι να κάνουμε το χρονοδιάγραμμα υιοθέτησης της ενημερωμένης έκδοσης κώδικα ως ρητό μέρος της πολιτικής μας για την αποκάλυψη ευπάθειας", δήλωσε ο Tim Willis του Project Zero Vendors ανάρτηση περιγράφοντας την αλλαγή. "Οι προμηθευτές θα έχουν πλέον 90 ημέρες για την ανάπτυξη κώδικα και επιπλέον 30 ημέρες για την υιοθέτηση κώδικα."

Το Project Zero επεκτείνει επιπλέον την περίοδο χάριτος των 30 ημερών σε ευπάθειες μηδενικής ημέρας που εκμεταλλεύονται ενεργά εναντίον χρηστών στην άγρια ​​φύση. Ενώ η προθεσμία αποκάλυψης είναι μόνο επτά ημέρες για την ενημέρωση κώδικα, οι τεχνικές λεπτομέρειες θα δημοσιευτούν μόνο 30 ημέρες μετά την επιδιόρθωση, αρκεί το πρόβλημα να επιλυθεί από προγραμματιστές. Εάν όχι, οι τεχνικές λεπτομέρειες θα δημοσιευτούν αμέσως.

Επεκτάθηκε σε ευπάθειες μηδενικής ημέρας, επίσης

Αυτοί οι νέοι κανόνες θα ισχύουν για το 2021, αν και τα πράγματα θα μπορούσαν να αλλάξουν ξανά στο μέλλον. Όπως σημειώνει η ανάρτηση ιστολογίου: "Προτίμησή μας είναι να επιλέξουμε ένα σημείο εκκίνησης που μπορεί να ικανοποιηθεί με συνέπεια από τους περισσότερους προμηθευτές και, στη συνέχεια, να μειώσει σταδιακά τόσο τα χρονοδιαγράμματα ανάπτυξης κώδικα όσο και τα χρονοδιαγράμματα υιοθέτησης κώδικα."

Η σωστή αποκάλυψη αυτών των ειδών είναι δύσκολη δουλειά, εξισορρόπηση των καλύτερων συμφερόντων των χρηστών με την παροχή επαρκούς χρόνου στους προγραμματιστές για την ανάπτυξη και την κυκλοφορία μιας ενημερωμένης έκδοσης κώδικα. Καθώς η ομάδα του Project Zero γνωρίζει ξεκάθαρα, είναι ένας τομέας που θα συνεχίσει να τροποποιείται καθώς αναπτύσσονται τα μέτρα ασφάλειας στον κυβερνοχώρο και τα διορθωτικά μέτρα.

Προς το παρόν, ωστόσο, θα ήταν δύσκολο να υποδείξετε ότι οι ειδικοί ασφαλείας της Google δεν κάνουν το σωστό.

Πιστωτική εικόνα: Mitchell Luo /Απεμπλοκή CC

ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
Το Patch Tuesday της Microsoft επιδιορθώνει την έκρηξη μηδενικής ημέρας και άλλα κρίσιμα σφάλματα

Ενημερώστε τα συστήματά σας Windows για να προστατεύσετε από τις κρίσιμες ευπάθειες.

Διαβάστε Επόμενο

Σχετικά θέματα
  • Ειδήσεις τεχνολογίας
  • Google
  • Κυβερνασφάλεια
Σχετικά με τον Συγγραφέα
Luke Dormehl (Δημοσίευση 128 άρθρων)

Ο Luke είναι οπαδός της Apple από τα μέσα της δεκαετίας του 1990. Τα κύρια ενδιαφέροντά του που αφορούν την τεχνολογία είναι οι έξυπνες συσκευές και η διασταύρωση μεταξύ τεχνολογίας και φιλελεύθερων τεχνών.

Περισσότερα από τον Luke Dormehl

Εγγραφείτε στο Newsletter μας

Εγγραφείτε στο ενημερωτικό δελτίο μας για τεχνικές συμβουλές, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!

Ένα ακόμη βήμα…!

Επιβεβαιώστε τη διεύθυνση email σας στο email που μόλις σας στείλαμε.

.