Google Project Zero, turvaekspertide meeskond, kelle otsingu hiiglane töötab nullpäevase tarkvara nõrkade kohtade otsimiseks, on värskendanud oma haavatavuse avalikustamise juhiseid.

Värskendatud poliitika lisab mõnele turvavea avalikustamisele täiendava 30-päevase akna. Enne seda avaldasid Google'i teadlased 90-päevase akna lõpus või pärast vea parandamist oma veebiveajälgijas üksikasjad.

Pikem plaaster

Lisakuu (ligikaudu) annab nii müüjatele kui ka kasutajatele natuke kauem aega arendamiseks, jagamiseks ja kasutamiseks installige oma tarkvara jaoks vajalikud plaastrid, enne kui haavatavuse üksikasju veebis jagatakse. See on hea uudis, sest hetkel, kui haavatavuse üksikasju veebis jagatakse, võivad ründajad neid relvastada.

Ehkki plaastrid on enamasti välja antud juba nõrkade kohtade üksikasjade avaldamise hetkeni, sõltub see ikkagi sellest, et kasutajad on plaastrid ise installinud. Mõnel juhul võib see olla aeganõudev ülesanne. Google'i täiendavad 30 päeva on seega hea uudis.

"Meie 2021. aasta poliitika värskenduse eesmärk on muuta plaastri kasutuselevõtu ajaskaala meie haavatavuse avalikustamise poliitika selgesõnaliseks osaks," ütles Tim Willis projekti Zero Vendors avalduses.

blogipostitus kirjeldades muutust. "Müüjatel on nüüd 90 päeva plaastri väljatöötamiseks ja täiendavalt 30 päeva plaastri kasutuselevõtuks."

Projekt Zero pikendab täiendavalt 30-päevast ajapikendust aastani null päeva haavatavust mida kasutatakse vabas looduses kasutajate vastu aktiivselt ära. Ehkki avalikustamise tähtaeg on lappimiseks vaid seitse päeva, avaldatakse tehnilised üksikasjad alles 30 päeva pärast parandust seni, kuni arendajad probleemi lahendavad. Kui ei, siis avaldatakse kohe tehnilised üksikasjad.

Laiendatud ka nullpäevade haavatavusteni

Need uued reeglid kehtivad 2021. aastaks, ehkki asjad võivad tulevikus uuesti muutuda. Nagu ajaveebipostituses märgitakse: "Meie eelistus on valida lähtepunkt, millele enamik hankijaid järjekindlalt vastab, ja seejärel langetada järk-järgult nii plaastri väljatöötamise kui plaastri kasutuselevõtu ajakava."

Sellise teabe avalikustamine on raske töö, tasakaalustades kasutajate huve ja andes arendajatele piisavalt aega plaastri väljatöötamiseks ja vabastamiseks. Kuna Project Zero meeskond on selgelt teadlik, on see ala, mida jätkatakse küberjulgeoleku ja lappimismeetmete väljatöötamisel.

Praegu oleks teil aga raske väita, et Google'i turvaeksperdid ei tee õiget asja.

Pildikrediit: Mitchell Luo /Unsplash CC

E-post
Microsofti paranduste teisipäev parandab nullipäevase kasutamise ja muud kriitilised vead

Kriitiliste haavatavuste eest kaitsmiseks värskendage oma Windowsi süsteeme.

Loe edasi

Seotud teemad
  • Tehnikauudised
  • Google
  • Küberturvalisus
Autori kohta
Luke Dormehl (128 artiklit on avaldatud)

Luke on olnud Apple'i fänn alates 1990. aastate keskpaigast. Tema peamised tehnoloogiaga seotud huvid on nutiseadmed ning tehnika ja vabade kunstide ristmik.

Veel Luke Dormehlilt

Telli meie uudiskiri

Liituge meie uudiskirjaga, kus leiate tehnilisi näpunäiteid, ülevaateid, tasuta e-raamatuid ja eksklusiivseid pakkumisi!

Veel üks samm !!!

Palun kinnitage oma e-posti aadress e-kirjas, mille teile just saatsime.

.