Google Project Zero, hakujättilän palveluksessa oleva tietoturva -asiantuntijaryhmä, jonka tehtävänä on etsiä nollapäivän ohjelmistohaavoittuvuuksia, on päivittänyt haavoittuvuusilmoitussäännöt.
Päivitetty käytäntö lisää ylimääräisen 30 päivän ikkunan joihinkin tietoturvavirheisiin. Ennen tätä Googlen tutkijat julkaisivat tietoja haavoittuvuuksista online-vianseurantaohjelmassaan 90 päivän ikkunan lopussa tai virheen korjaamisen jälkeen.
miten päästä eroon bloatware Windows 10
Pidemmältä laastarilta
Lisäkuukausi (noin) antaa sekä toimittajille että käyttäjille hieman pidemmän aikaa kehittää, jakaa ja asentaa tarvittavat korjaukset ohjelmistoonsa ennen kuin haavoittuvuuden tiedot jaetaan verkossa. Tämä on hyvä uutinen, sillä heti kun haavoittuvuustiedot jaetaan verkossa, hyökkääjät voivat mahdollisesti aseistaa ne.
Vaikka korjaustiedostoja on useimmiten julkaistu siihen mennessä, kun haavoittuvuustiedot julkaistaan, se riippuu edelleen käyttäjistä, jotka ovat asentaneet korjaustiedostot itse. Joissakin tapauksissa tämä voi olla aikaa vievä tehtävä. Googlen ylimääräiset 30 päivää ovat siis hyviä uutisia.
'Vuoden 2021 käytäntöpäivityksemme tavoitteena on tehdä korjaustiedoston hyväksymisaikataulusta selkeä osa haavoittuvuusilmoituspolitiikkaamme', Tim Willis Project Zero Vendorsista sanoi blogipostaus kuvataan muutosta. 'Toimittajilla on nyt 90 päivää korjaustiedoston kehittämiseen ja vielä 30 päivää korjaustiedoston käyttöönottoon.'
Project Zero pidentää lisäksi ylimääräistä 30 päivän lisäaikaa nolla päivän haavoittuvuudet joita hyödynnetään aktiivisesti luonnonvaraisia käyttäjiä vastaan. Vaikka julkistamisaika on vain seitsemän päivää korjaustiedostoille, tekniset tiedot julkaistaan vasta 30 päivän kuluttua korjauksesta --- niin kauan kuin kehittäjät ovat korjanneet ongelman. Jos ei, tekniset tiedot julkaistaan välittömästi.
Laajennettu myös nollapäivän haavoittuvuuksiin
Näitä uusia sääntöjä sovelletaan vuoteen 2021, vaikka asiat voivat muuttua uudelleen tulevaisuudessa. Kuten blogikirjoituksessa todetaan: 'Meidän mieluummin on valita lähtökohta, jonka useimmat toimittajat voivat jatkuvasti noudattaa, ja alentaa sitten vähitellen sekä korjaustiedoston kehittämisen että korjaustiedoston käyttöönoton aikatauluja.'
Tällaisten tietojen paljastaminen oikein on vaikeaa työtä, jossa käyttäjien edut on tasapainotettu ja kehittäjille annetaan riittävästi aikaa korjaustiedoston kehittämiseen ja julkaisemiseen. Kuten Project Zero -tiimi on selvästi tietoinen, se on alue, jota muokataan edelleen kyberturvallisuuden ja korjaustöiden kehittyessä.
kuinka käyttää vihreää näyttöä valokuvaukseen
Toistaiseksi sinun on kuitenkin vaikea ehdottaa, että Googlen tietoturva-asiantuntijat eivät toimi oikein.
Kuva: Mitchell Luo/ Poista CC
Jaa Jaa Tweet Sähköposti Microsoftin korjaustiistai korjaa nollan päivän hyödyntämisen ja muut kriittiset virheetPäivitä Windows -järjestelmät suojautuaksesi kriittisiltä haavoittuvuuksilta.
Lue seuraava Liittyvät aiheet- Turvallisuus
- Tekniset uutiset
- Kyberturvallisuus
Luke on ollut Applen fani 1990-luvun puolivälistä lähtien. Hänen pääintressinsä tekniikan parissa ovat älylaitteet ja tekniikan ja taiteen välinen risteys.
Lisää Luke Dormehliltatilaa uutiskirjeemme
Liity uutiskirjeeseemme saadaksesi teknisiä vinkkejä, arvosteluja, ilmaisia e -kirjoja ja ainutlaatuisia tarjouksia!
Klikkaa tästä tilataksesi