Googlen Project Zero antaa tekniikkayrityksille pidemmän ajan haavoittuvuuksien korjaamiseen

Googlen Project Zero antaa tekniikkayrityksille pidemmän ajan haavoittuvuuksien korjaamiseen

Google Project Zero, hakujättilän palveluksessa oleva tietoturva -asiantuntijaryhmä, jonka tehtävänä on etsiä nollapäivän ohjelmistohaavoittuvuuksia, on päivittänyt haavoittuvuusilmoitussäännöt.





Päivitetty käytäntö lisää ylimääräisen 30 päivän ikkunan joihinkin tietoturvavirheisiin. Ennen tätä Googlen tutkijat julkaisivat tietoja haavoittuvuuksista online-vianseurantaohjelmassaan 90 päivän ikkunan lopussa tai virheen korjaamisen jälkeen.



miten päästä eroon bloatware Windows 10

Pidemmältä laastarilta

Lisäkuukausi (noin) antaa sekä toimittajille että käyttäjille hieman pidemmän aikaa kehittää, jakaa ja asentaa tarvittavat korjaukset ohjelmistoonsa ennen kuin haavoittuvuuden tiedot jaetaan verkossa. Tämä on hyvä uutinen, sillä heti kun haavoittuvuustiedot jaetaan verkossa, hyökkääjät voivat mahdollisesti aseistaa ne.





Vaikka korjaustiedostoja on useimmiten julkaistu siihen mennessä, kun haavoittuvuustiedot julkaistaan, se riippuu edelleen käyttäjistä, jotka ovat asentaneet korjaustiedostot itse. Joissakin tapauksissa tämä voi olla aikaa vievä tehtävä. Googlen ylimääräiset 30 päivää ovat siis hyviä uutisia.

'Vuoden 2021 käytäntöpäivityksemme tavoitteena on tehdä korjaustiedoston hyväksymisaikataulusta selkeä osa haavoittuvuusilmoituspolitiikkaamme', Tim Willis Project Zero Vendorsista sanoi blogipostaus kuvataan muutosta. 'Toimittajilla on nyt 90 päivää korjaustiedoston kehittämiseen ja vielä 30 päivää korjaustiedoston käyttöönottoon.'



Project Zero pidentää lisäksi ylimääräistä 30 päivän lisäaikaa nolla päivän haavoittuvuudet joita hyödynnetään aktiivisesti luonnonvaraisia ​​käyttäjiä vastaan. Vaikka julkistamisaika on vain seitsemän päivää korjaustiedostoille, tekniset tiedot julkaistaan ​​vasta 30 päivän kuluttua korjauksesta --- niin kauan kuin kehittäjät ovat korjanneet ongelman. Jos ei, tekniset tiedot julkaistaan ​​välittömästi.

Laajennettu myös nollapäivän haavoittuvuuksiin

Näitä uusia sääntöjä sovelletaan vuoteen 2021, vaikka asiat voivat muuttua uudelleen tulevaisuudessa. Kuten blogikirjoituksessa todetaan: 'Meidän mieluummin on valita lähtökohta, jonka useimmat toimittajat voivat jatkuvasti noudattaa, ja alentaa sitten vähitellen sekä korjaustiedoston kehittämisen että korjaustiedoston käyttöönoton aikatauluja.'



Tällaisten tietojen paljastaminen oikein on vaikeaa työtä, jossa käyttäjien edut on tasapainotettu ja kehittäjille annetaan riittävästi aikaa korjaustiedoston kehittämiseen ja julkaisemiseen. Kuten Project Zero -tiimi on selvästi tietoinen, se on alue, jota muokataan edelleen kyberturvallisuuden ja korjaustöiden kehittyessä.

kuinka käyttää vihreää näyttöä valokuvaukseen

Toistaiseksi sinun on kuitenkin vaikea ehdottaa, että Googlen tietoturva-asiantuntijat eivät toimi oikein.



Kuva: Mitchell Luo/ Poista CC

Jaa Jaa Tweet Sähköposti Microsoftin korjaustiistai korjaa nollan päivän hyödyntämisen ja muut kriittiset virheet

Päivitä Windows -järjestelmät suojautuaksesi kriittisiltä haavoittuvuuksilta.

Lue seuraava Liittyvät aiheet
  • Turvallisuus
  • Tekniset uutiset
  • Google
  • Kyberturvallisuus
Kirjailijasta Luke Dormehl(180 artikkelia julkaistu)

Luke on ollut Applen fani 1990-luvun puolivälistä lähtien. Hänen pääintressinsä tekniikan parissa ovat älylaitteet ja tekniikan ja taiteen välinen risteys.

Lisää Luke Dormehlilta

tilaa uutiskirjeemme

Liity uutiskirjeeseemme saadaksesi teknisiä vinkkejä, arvosteluja, ilmaisia ​​e -kirjoja ja ainutlaatuisia tarjouksia!

Klikkaa tästä tilataksesi