Home-theater-designers
Google Project Zero, un team di esperti di sicurezza impiegati dal gigante della ricerca con il compito di scovare le vulnerabilità del software zero day, ha aggiornato le sue linee guida sulla divulgazione delle vulnerabilità.
La politica aggiornata aggiunge una finestra extra di 30 giorni ad alcune divulgazioni di bug di sicurezza. Prima di questo, i ricercatori di Google avrebbero pubblicato i dettagli delle vulnerabilità sul loro bug tracker online alla fine di una finestra di 90 giorni o dopo che il bug era stato corretto.
Correzione di Windows 10 per trap in modalità kernel imprevista
Più lungo da rattoppare
Il mese aggiuntivo (circa) offre sia ai fornitori che agli utenti un po' più di tempo per sviluppare, condividere e installare le patch necessarie per il loro software prima che i dettagli della vulnerabilità vengano condivisi online. Questa è una buona notizia poiché nel momento in cui i dettagli della vulnerabilità vengono condivisi online potrebbero essere potenzialmente utilizzati dagli aggressori.
Sebbene le patch siano state rilasciate più spesso al momento della pubblicazione dei dettagli sulla vulnerabilità, ciò dipende ancora dagli utenti che hanno installato le patch da soli. In alcuni casi, questo può essere un compito che richiede molto tempo. I 30 giorni in più di Google sono quindi una buona notizia.
'L'obiettivo del nostro aggiornamento della politica del 2021 è rendere la tempistica di adozione della patch una parte esplicita della nostra politica di divulgazione delle vulnerabilità', ha affermato Tim Willis di Project Zero Vendors in un post sul blog descrivendo il cambiamento. 'I fornitori avranno ora 90 giorni per lo sviluppo delle patch e altri 30 giorni per l'adozione delle patch.'
Project Zero sta inoltre estendendo il periodo di grazia extra di 30 giorni a vulnerabilità zero-day che vengono attivamente sfruttati contro gli utenti in natura. Sebbene la scadenza per la divulgazione sia di soli sette giorni per l'applicazione delle patch, i dettagli tecnici verranno pubblicati solo 30 giorni dopo la correzione, a condizione che il problema venga risolto dagli sviluppatori. In caso contrario, i dettagli tecnici saranno pubblicati immediatamente.
Anche le vulnerabilità estese a zero-day
Queste nuove regole si applicheranno per il 2021, anche se le cose potrebbero cambiare di nuovo in futuro. Come osserva il post del blog: 'La nostra preferenza è quella di scegliere un punto di partenza che possa essere soddisfatto in modo coerente dalla maggior parte dei fornitori e quindi ridurre gradualmente sia lo sviluppo delle patch che le tempistiche di adozione delle patch'.
Ottenere questo tipo di divulgazione nel modo giusto è un lavoro difficile, bilanciare i migliori interessi degli utenti con il tempo sufficiente per gli sviluppatori per sviluppare e rilasciare una patch. Come il team di Project Zero è chiaramente consapevole, è un'area che continuerà a essere ottimizzata man mano che si sviluppano misure di sicurezza informatica e patch.
come giocare a minecraft con gli amici online
Per ora, però, sarebbe difficile suggerire che gli esperti di sicurezza di Google non stiano facendo la cosa giusta.
Credito immagine: Mitchell Luo/ Rimuovi CC
Condividere Condividere Tweet E-mail Patch Tuesday di Microsoft risolve lo sfruttamento zero-day e altri bug criticiAggiorna i tuoi sistemi Windows per proteggerti dalle vulnerabilità critiche.
Leggi Avanti Argomenti correlati- Sicurezza
- Notizie tecniche
- Sicurezza informatica
Luke è un fan di Apple dalla metà degli anni '90. I suoi principali interessi legati alla tecnologia sono i dispositivi intelligenti e l'intersezione tra tecnologia e arti liberali.
Altro da Luke DormehlIscriviti alla nostra Newsletter
Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!
Clicca qui per iscriverti