mercoledì 12 maggio 2021

Google aspetterà ancora un po 'prima di pubblicare i dettagli della vulnerabilità zero day

SkillUp / Shutterstock Project Zero è un team di Google incaricato di individuare le vulnerabilità e segnalarle ai produttori. Non è senza controversia a causa della pubblicazione occasionale dei dettagli delle vulnerabilità prima di una patch. A tal fine, Project Zero aggiungerà un po ‘di tempo al suo periodo di divulgazione .

Secondo le vecchie regole, i fornitori di software avevano 30 giorni per rilasciare una patch da quando Google ha rivelato una vulnerabilità a il venditore. Che lo facesse o meno, rivelerebbe la vulnerabilità zero-day al pubblico, spesso con dettagli sufficienti che un cattivo attore potrebbe utilizzare le informazioni per creare exploit. Alla fine, Google ha aggiunto un periodo di grazia facoltativo che i fornitori di software potevano richiedere se una patch era quasi completata.

I detrattori affermano che la scadenza rigida mette a rischio il pubblico se l’azienda sta lavorando attivamente a una soluzione, ma il problema è abbastanza complicato da non poter essere risolto in 90 giorni. Altri sottolineano che alcune aziende potrebbero essere poco inclini a creare una patch senza la finestra dura. La pressione pubblica aiuta a convincere il fornitore di software ad agire dove non potrebbe altrimenti.

Trovare quella via di mezzo è la parte difficile e Google afferma che apporterà modifiche per affrontare le preoccupazioni della più ampia comunità di sicurezza. Tra 2021 attenderà altri 30 giorni per rivelare i dettagli di una vulnerabilità se un fornitore rilascia una patch prima della fine della finestra 90. L’idea è di dare agli utenti il ​​tempo di installare gli aggiornamenti e proteggerli. Tuttavia, se un fornitore richiede una finestra di grazia, questa verrà inserita nella 30 – finestra di aggiornamento del giorno.

Questo è per un caso in cui Google non ha Ho scoperto una vulnerabilità già oggetto di abuso attivo. Prima di ciò, Google ha rivelato tutti i dettagli entro sette giorni dalla notifica. In futuro, rivelerà la vulnerabilità dopo sette giorni, ma attenderà la pubblicazione dei dettagli tecnici per altri 30 giorni.

Tutto ciò si applica solo a 2021 perché il prossimo anno Google prevede di accorciare leggermente tutte le sue finestre. A partire da 2022, Project Zero si sposterà in un “84 + 28 “modello – 84 giorni alla divulgazione, più altri 28 giorni per tutti i dettagli. Project Zero spera che l’accorciamento delle finestre incoraggerà lo sviluppo di patch più veloce. Suggerisce inoltre che il passaggio a giorni divisibili per sette riduce la possibilità che una scadenza cada in un fine settimana, quando i fornitori di software in genere hanno giorni liberi.

Fonte: Project Zero