Home-theater-designers
Google Project Zero, un equip d’experts en seguretat emprat pel gegant de la cerca amb la feina de buscar vulnerabilitats de programari de dia zero, ha actualitzat les seves directrius de divulgació de vulnerabilitats.
La política actualitzada afegeix una finestra addicional de 30 dies a algunes divulgacions d'errors de seguretat. Abans, els investigadors de Google publicaven detalls de vulnerabilitats al seu rastrejador d'errors en línia al final d'una finestra de 90 dies o després que l'error s'hagi corregit.
puc descarregar jocs de ps3 a ps4
Més llarg de Patch
El mes addicional (aproximadament) permet als proveïdors i als usuaris una mica més de temps per desenvolupar, compartir i instal·lar els pegats necessaris per al seu programari abans que es comparteixin en línia els detalls de la vulnerabilitat. Aquesta és una bona notícia, ja que en el moment en què es comparteixen els detalls de la vulnerabilitat en línia, els atacants podrien ser armats.
Tot i que els pedaços s’han publicat amb més freqüència fins al punt que es publiquen els detalls de la vulnerabilitat, això encara depèn dels usuaris que els han instal·lat ells mateixos. En alguns casos, pot ser una tasca que requereix molt de temps. Els 30 dies addicionals de Google són, per tant, una bona notícia.
'L'objectiu de la nostra actualització de la política del 2021 és fer que la cronologia d'adopció de pedaços sigui una part explícita de la nostra política de divulgació de vulnerabilitats', va dir Tim Willis de Project Zero Vendors en un publicació al bloc descrivint el canvi. 'Els proveïdors tindran ara 90 dies per al desenvolupament de pedaços i 30 dies addicionals per a l'adopció de pedaços'.
Project Zero també amplia el període de gràcia addicional de 30 dies a vulnerabilitats de zero dies que s’exploten activament contra usuaris en estat salvatge. Tot i que el termini de divulgació és de només set dies per al pegat, els detalls tècnics només es publicaran 30 dies després de la correcció, sempre que els desenvolupadors solucionin el problema. Si no, els detalls tècnics es publicaran immediatament.
Estès a les vulnerabilitats de dia zero, també
Aquestes noves regles s'aplicaran per al 2021, tot i que les coses podrien tornar a canviar en el futur. Com assenyala la publicació del bloc: 'La nostra preferència és escollir un punt de partida que la majoria de proveïdors pugui assolir constantment i, a continuació, reduir gradualment el calendari de desenvolupament i d'adopció de pedaços'.
Aconseguir aquest tipus de divulgacions és correcte, equilibrar el millor interès dels usuaris i donar temps suficient als desenvolupadors per desenvolupar i llançar un pedaç. Com sap clarament l’equip del Projecte Zero, es tracta d’una àrea que es continuarà modificant a mesura que es desenvolupin mesures de ciberseguretat i parches.
com arreglar un telèfon que no s'encén tot el camí
Tanmateix, ara per ara no us semblaria difícil suggerir que els experts en seguretat de Google no facin el correcte.
Crèdit de la imatge: Mitchell Luo / Unsplash CC
Compartir Compartir Tweet Correu electrònic El Patch Tuesday de Microsoft corregeix l'explotació de zero dies i altres errors críticsActualitzeu els sistemes Windows per protegir-vos contra les vulnerabilitats crítiques.
Llegiu a continuació Temes relacionats- Seguretat
- Notícies tècniques
- Seguretat cibernètica
Luke és un fan d’Apple des de mitjans dels anys noranta. Els seus principals interessos relacionats amb la tecnologia són els dispositius intel·ligents i la intersecció entre la tecnologia i les arts liberals.
Més de Luke DormehlSubscriu-te al nostre butlletí
Uniu-vos al nostre butlletí per obtenir consells tècnics, ressenyes, llibres electrònics gratuïts i ofertes exclusives.
Feu clic aquí per subscriure-us