Google'i projekt Zero annab tehnilistele ettevõtetele haavatavuste parandamiseks kauem aega

Google'i projekt Zero annab tehnilistele ettevõtetele haavatavuste parandamiseks kauem aega

Google Project Zero, turbeekspertide meeskond, kelle otsinguhiiglane palkab nullpäevase tarkvara haavatavuste otsimisel, on uuendanud oma haavatavuse avalikustamise juhiseid.





Värskendatud poliitika lisab mõnele turvaviga avalikustamisele täiendava 30-päevase akna. Enne seda avaldasid Google'i teadlased 90-päevase akna lõpus või pärast vea parandamist oma veebipõhise veajälgija haavatavuste üksikasjad.



kuidas parandada LED -teleris surnud piksleid

Pikem plaaster

Täiendav kuu (ligikaudu) annab nii müüjatele kui ka kasutajatele natuke aega oma tarkvara jaoks vajalike plaastrite arendamiseks, jagamiseks ja installimiseks, enne kui haavatavuse üksikasju veebis jagatakse. See on hea uudis, kuna hetkel, kui haavatavuse üksikasju veebis jagatakse, võivad ründajad neid relvastada.





Kuigi plaastrid on kõige sagedamini vabastatud haavatavuse üksikasjade avaldamise hetkest, sõltub see siiski sellest, et kasutajad on plaastrid ise installinud. Mõnel juhul võib see olla aeganõudev ülesanne. Google'i täiendavad 30 päeva on seega hea uudis.

'Meie 2021. aasta poliitikavärskenduse eesmärk on muuta plaastri kasutuselevõtu ajajoon meie haavatavuse avalikustamise poliitika selgesõnaliseks osaks,' ütles Tim Willis projektist Zero Vendors. ajaveebi postitus kirjeldab muutust. 'Müüjatel on nüüd plaastri väljatöötamiseks aega 90 päeva ja plaastri vastuvõtmiseks veel 30 päeva.'



Project Zero pikendab täiendavat 30-päevast ajapikendust nullpäeva haavatavused mida kasutatakse aktiivselt looduslike kasutajate vastu. Kuigi avalikustamise tähtaeg on parandamiseks vaid seitse päeva, avaldatakse tehnilised üksikasjad alles 30 päeva pärast parandust-seni, kuni arendajad on selle probleemi lahendanud. Kui ei, siis avaldatakse tehnilised üksikasjad kohe.

Laiendatud ka nullpäeva haavatavustele

Need uued reeglid kehtivad 2021. aastal, kuigi asjad võivad tulevikus uuesti muutuda. Nagu ajaveebi postitus märgib: 'Meie eelistus on valida lähtepunkt, millest enamik müüjaid saab järjepidevalt kinni pidada, ja seejärel järk -järgult vähendada nii plaastrite väljatöötamise kui ka plaastrite vastuvõtmise tähtaegu.'



Sellise avalikustamise õigeks tegemine on raske töö, tasakaalustades kasutajate huvid ja andes arendajatele piisavalt aega plaastri väljatöötamiseks ja väljaandmiseks. Nagu Project Zero meeskond on selgelt teadlik, on see valdkond, mida küberturvalisuse ja lappimismeetmete arenedes jätkatakse.

kuidas akut Windows 10 -s näidata

Praegu on teil aga raske arvata, et Google'i turbeeksperdid ei tee õiget asja.



Pildi krediit: Mitchell Luo/ Tühjendage CC

Jaga Jaga Piiksuma E -post Microsofti plaaster teisipäeval parandab nullpäeva ekspluateerimise ja muud kriitilised vead

Värskendage oma Windowsi süsteeme kriitiliste haavatavuste eest kaitsmiseks.

Loe edasi Seotud teemad
  • Turvalisus
  • Tehnikauudised
  • Google
  • Küberturvalisus
Autori kohta Luke Dormehl(180 artiklit avaldatud)

Luke on olnud Apple'i fänn alates 1990. aastate keskpaigast. Tema peamised tehnoloogiaga seotud huvid on nutiseadmed ning tehnika ja vabade kunstide ristumiskoht.

Veel Luke Dormehlilt

Telli meie uudiskiri

Liituge meie uudiskirjaga, et saada tehnilisi näpunäiteid, ülevaateid, tasuta e -raamatuid ja eksklusiivseid pakkumisi!

Tellimiseks klõpsake siin