🧑 💻 Kirjoitamme artikkeleita gadgeteista, tietokoneista, autoista, peleistä ja harrastuksista. Hyödyllisiä arvosteluja mielenkiintoisimmista
ArvopaperiHarrastuksiaSekalainen

Google odottaa hieman pidempään ennen kuin julkaisee Zero Day -haavoittuvuuden tiedot

2

SkillUp/Shutterstock

Project Zero on Googlen tiimi, jonka tehtävänä on löytää haavoittuvuuksia ja raportoida niistä valmistajille. Se ei ole kiistaton, koska ajoittain julkaistaan ​​haavoittuvuuksien tiedot ennen korjaustiedostoa. Tätä varten Project Zero lisää jonkin verran aikaa ilmoitusjaksolleen.

Vanhojen sääntöjen mukaan ohjelmistotoimittajilla oli 90 päivää aikaa julkaista korjaustiedosto, kun Google paljasti toimittajalle haavoittuvuuden. Tekipä se sitten tai ei, se paljastaisi nollapäivän haavoittuvuuden yleisölle, usein niin yksityiskohtaisesti, että huono toimija voisi käyttää tietoja hyväkseen. Lopulta Google lisäsi valinnaisen lisäajan, jota ohjelmistotoimittajat voivat pyytää, jos korjaus oli lähellä valmis.

Vastustajat väittävät, että kova määräaika asettaa yleisön vaaraan, jos yritys työskentelee aktiivisesti ratkaisun eteen, mutta ongelma on tarpeeksi monimutkainen, ettei sitä voida ratkaista 90 päivässä. Toiset huomauttavat, että jotkut yritykset saattavat olla haluttomia luomaan korjaustiedostoa ollenkaan ilman kovaa ikkunaa. Julkinen painostus auttaa vakuuttamaan ohjelmistotoimittajan toimimaan siellä, missä se ei muuten voisi.

Keskitien löytäminen on vaikea osa, ja Google sanoo tekevänsä muutoksia vastatakseen laajemman tietoturvayhteisön huolenaiheisiin. Vuonna 2021 se odottaa vielä 30 päivää paljastaakseen haavoittuvuuden tiedot, jos toimittaja julkaisee korjaustiedoston ennen 90-ikkunan päättymistä. Ajatuksena on antaa käyttäjille aikaa asentaa päivitykset ja suojata ne. Jos myyjä kuitenkin pyytää lisäaikaa, se syö 30 päivän päivitysikkunan.

Tämä koskee tapausta, jossa Google ei ole havainnut haavoittuvuutta, jota on jo käytetty aktiivisesti väärin. Ennen kuin tämä tapahtui, Google paljasti täydelliset tiedot seitsemän päivän kuluessa ilmoituksesta. Jatkossa se paljastaa haavoittuvuuden seitsemän päivän kuluttua, mutta odottaa teknisten tietojen julkaisemista vielä 30 päivää.

Kaikki tämä koskee vain vuotta 2021, koska ensi vuonna Google aikoo lyhentää kaikkia ikkunoitaan hieman. Vuodesta 2022 alkaen Project Zero siirtyy "84 + 28" -malliin – 84 päivää paljastamiseen ja vielä 28 päivää täydellisiin yksityiskohtiin. Project Zero toivoo, että ikkunoiden lyhentäminen rohkaisee korjaustiedostojen kehittämiseen. Se viittaa myös päiviin siirtymiseen jaollinen seitsemällä vähentää todennäköisyyttä, että määräaika putoaa viikonlopulle – kun ohjelmistotoimittajilla on yleensä vapaapäiviä.

Lähde: Project Zero

saatat pitää myös Lisää kirjoittajalta

Tämä verkkosivusto käyttää evästeitä parantaakseen käyttökokemustasi. Oletamme, että olet kunnossa, mutta voit halutessasi kieltäytyä. Hyväksyä Lisätietoja