Google esperará un poco más antes de publicar los detalles de la vulnerabilidad de día cero
Project Zero es un equipo de Google encargado de encontrar vulnerabilidades y reportarlas a los fabricantes. No está libre de controversia debido a la publicación ocasional de los detalles de las vulnerabilidades antes de un parche. Con ese fin, Project Zero agregará algo de tiempo a su período de divulgación.
Según las reglas anteriores, los proveedores de software tenían 90 días para lanzar un parche a partir del momento en que Google reveló una vulnerabilidad al proveedor. Ya sea que lo hiciera o no, revelaría la vulnerabilidad de día cero al público, a menudo con suficientes detalles como para que un mal actor pudiera usar la información para crear exploits. Eventualmente, Google agregó un período de gracia opcional que los proveedores de software podrían solicitar si un parche estaba a punto de completarse.
Los detractores afirman que el plazo estricto pone en riesgo al público si la empresa está trabajando activamente en una solución, pero el problema es lo suficientemente complicado como para que no se resuelva en 90 días. Otros señalan que algunas empresas pueden no estar dispuestas a crear un parche sin la ventana dura. La presión pública ayuda a convencer al proveedor de software para que actúe donde de otro modo no podría hacerlo.
Encontrar ese término medio es la parte difícil, y Google dice que hará ajustes para abordar las preocupaciones de la comunidad de seguridad en general. En 2021, esperará 30 días adicionales para revelar los detalles de una vulnerabilidad si un proveedor lanza un parche antes de que finalice la ventana de 90. La idea es dar tiempo a los usuarios para instalar actualizaciones y protegerlos. Sin embargo, si un proveedor solicita una ventana de gracia, eso consumirá la ventana de actualización de 30 días.
Eso es para un caso en el que Google no ha descubierto una vulnerabilidad que ya se está abusando activamente. Antes de que eso sucediera, Google reveló todos los detalles dentro de los siete días posteriores a la notificación. En el futuro, revelará la vulnerabilidad después de siete días, pero esperará a publicar los detalles técnicos durante 30 días adicionales.
Todo eso se aplica solo a 2021 porque el próximo año, Google planea acortar ligeramente todas sus ventanas. A partir de 2022, Project Zero pasará a un modelo "84 + 28": 84 días para la divulgación, más otros 28 días para obtener todos los detalles. Project Zero espera que acortar las ventanas fomente un desarrollo de parches más rápido. También sugiere que pasar a días divisible por siete reduce la posibilidad de que una fecha límite caiga en un fin de semana, cuando los proveedores de software suelen tener días libres.
Fuente: Proyecto Cero