Google Project Zero, tietoturva-asiantuntijoiden joukko, jonka hakujätti työllistää ja joka etsii nollapäivän ohjelmistohaavoittuvuuksia, on päivittänyt haavoittuvuuksien paljastamista koskevat ohjeet.
Päivitetty käytäntö lisää ylimääräisen 30 päivän ikkunan joihinkin tietoturvavirheitä koskeviin ilmoituksiin. Ennen tätä Google-tutkijat julkaisivat yksityiskohdat haavoittuvuuksista online-vikaseurannassa 90 päivän ikkunan lopussa tai virheen korjauksen jälkeen.
Pidempi korjaustiedosto
Lisäkuukausi (suunnilleen) antaa sekä toimittajille että käyttäjille hieman kauemmin aikaa kehittää, jakaa ja Asenna ohjelmistolle tarvittavat korjaustiedostot, ennen kuin haavoittuvuuden yksityiskohdat jaetaan verkossa. Tämä on hyvä uutinen, koska heti, kun haavoittuvuustiedot jaetaan verkossa, hyökkääjät saattavat mahdollisesti asettaa ne.
Vaikka korjaustiedostoja on julkaistu useimmiten siinä vaiheessa, kun haavoittuvuustiedot julkaistaan, se riippuu silti siitä, että käyttäjät ovat asentaneet korjaustiedostot itse. Joissakin tapauksissa tämä voi olla aikaa vievä tehtävä. Googlen ylimääräiset 30 päivää ovat siis hyviä uutisia.
"Vuoden 2021 käytäntöpäivityksemme tavoitteena on tehdä korjaustiedoston käyttöönoton aikajanasta selkeä osa haavoittuvuuksien paljastamista koskevaa käytäntöämme", Tim Zaris Project Zero Vendors -lehdestä sanoi blogipostaus kuvaa muutosta. "Toimittajilla on nyt 90 päivää korjaustiedostojen kehittämiseen ja vielä 30 päivää päivityksen käyttöönottoon."
Project Zero pidentää lisäksi ylimääräistä 30 päivän lisäaikaa vuoteen nolla päivää haavoittuvuuksia joita hyödynnetään aktiivisesti luonnonvaraisia käyttäjiä vastaan. Vaikka julkistamisen määräaika on vain seitsemän päivää korjaustiedoille, tekniset yksityiskohdat julkaistaan vasta 30 päivää korjauksen jälkeen, kunhan kehittäjät korjaavat ongelman. Jos ei, tekniset tiedot julkaistaan välittömästi.
Laajennettu myös nollapäivän heikkouksiin
Näitä uusia sääntöjä sovelletaan vuoteen 2021, vaikka asiat voivat muuttua jälleen tulevaisuudessa. Kuten blogiviestissä todetaan: "Me haluamme valita lähtökohdan, jonka useimmat toimittajat voivat jatkuvasti noudattaa, ja alentaa sitten vähitellen sekä korjaustiedostojen kehittämistä että korjausten käyttöönoton aikatauluja."
Tämäntyyppisten tietojen oikea saaminen on vaikea työ, jossa tasapainotetaan käyttäjien edut ja annetaan kehittäjille riittävästi aikaa kehittää ja julkaista korjaustiedosto. Kuten Project Zero -tiimi on selvästi tietoinen, se on alue, jota jatketaan edelleen kyberturvallisuuden ja korjaustoimien kehittyessä.
Toistaiseksi sinulla on kuitenkin vaikea ehdottaa, että Googlen tietoturva-asiantuntijat eivät toimi oikein.
Kuvahyvitys: Mitchell Luo /Irrota CC
Päivitä Windows-järjestelmät suojautumaan kriittisiltä haavoittuvuuksilta.
Lue seuraava
- Tech News
- Kyberturvallisuus
Luke on ollut Applen fani 1990-luvun puolivälistä lähtien. Hänen tärkeimmät kiinnostuksen kohteet tekniikkaan ovat älylaitteet sekä tekniikan ja taiteiden risteyskohdat.
Tilaa uutiskirjeemme
Liity uutiskirjeeseemme, jossa on teknisiä vinkkejä, arvosteluja, ilmaisia e-kirjoja ja erikoistarjouksia!
Vielä yksi askel !!!
Vahvista sähköpostiosoitteesi juuri lähettämässäsi sähköpostiviestissä.
