Google ajustou os termos da sua controversa Project Zero esforço scouting vulnerabilidade, afrouxando sua política de divulgação de 90 dias um pouco para dar às empresas uma melhor chance de consertar seus erros de segurança antes que se tornem de conhecimento público.
Entre as mudanças, o Google diz que não vai mais divulgar erros nos fins de semana e feriados, e vai mesmo oferecer fornecedores de software de um breve período de carência para terminar seus patches, se solicitar um.
Project Zero recebeu críticas de empresas de software - mais notavelmente Microsoft - para a divulgação de vulnerabilidades críticas ao público exatamente 90 dias após ele informa-los aos vendedores, uma política que top Redmond bod segurança Chris Betz disse que "se sente menos como princípios e mais como um ' pegadinha '. "
"O que é certo para o Google nem sempre é bom para os clientes", escreveu Betz em um post de blog em janeiro. "Instamos Google para fazer protecção dos clientes o nosso principal objetivo coletivo."
Lembre-se, é apenas natural que a Microsoft estaria ofendido. Entre os erros revelados pelo Project Zero até agora são críticas de dia zero falhas no Windows que pode potencialmente permitir que um invasor para ganhar controle completo de sistemas afetados.
Divulgações de vulnerabilidades do Google incluem muitas vezes prova-de-conceito código de exploração, ou seja, os cibercriminosos têm acesso a trabalho explora a minuto divulgação do Google vai viver.
Ainda assim, o Google parece ter ouvido as queixas de Redmond. Na sexta-feira, o ad-lançador on-line disse que iria fazer alterações à forma como Project Zero revela falhas, mas ele chegou a dizer que iria alongar o prazo de 90 dias, observando que próprio prazo do CERT é ainda menor.
"Nós notificar fornecedores de vulnerabilidades de imediato, com detalhes compartilhados em público com a comunidade defensiva após 90 dias, ou antes, se o fornecedor libera uma correção", a equipe de segurança do Google escreveu em um post de blog . "Nós escolhemos um prazo cronograma de meia-of-the-road e sinto que é razoavelmente calibrado para o estado atual da indústria."
Daqui para frente, no entanto, 90 dias não significa, necessariamente, de 90 dias. Por um lado, se a data de um prazo de divulgação remendo cai em um fim de semana ou feriado, o Google agora diz que vai adiar a sua divulgação até o dia útil seguinte.
Além do mais, a Fábrica de Chocolate diz que vai estender o prazo de divulgação por um período de carência de até 14 dias, desde que um fornecedor permite que ele sabe que um patch será lançado em uma data específica dentro de 14 dias.
"A divulgação pública de um problema sem correção agora só ocorre se o prazo não será atingida de forma significativa," post estados do Google.
Google diz que também vai ter a certeza de pré-atribuir números a erros que vão além de seus prazos antes que divulga-los, para evitar a confusão e ajudar o público a entender ameaças específicas CVE (Common Vulnerabilities e exposição).
Mas Redmond não estava totalmente satisfeito com as mudanças, dizendo que seria muito melhor ver o Google trabalhar de forma mais interativa com os fornecedores de software para aplicar patches.
"Quando localizadores liberar prova-de-conceito código de exploração ou outras informações publicamente antes de uma solução está no lugar, o risco de ataques contra os clientes vai para cima", da Microsoft Betz disse ao The Register, em um comunicado enviado por email. "Embora seja positivo ver os aspectos das práticas de divulgação ajustar, discordamos prazos arbitrários porque cada problema de segurança é única e end-to-end desenvolvimento de atualização e tempo de teste varia."
Google, por sua vez, disse que um prazo arbitrário, ainda que não discriminatória, é dos melhores fornecedores podem esperar.
"Como sempre, nós nos reservamos o direito de trazer os prazos para a frente ou para trás com base em circunstâncias extremas", disse a equipe de segurança do Google. "Continuamos comprometidos em tratar todos os fornecedores rigorosamente igual." ®
Nenhum comentário:
Postar um comentário