Notícias de dispositivos móveis, gadgets, aplicativos Android

O Project Zero do Google agora está sendo mais atencioso com a forma como divulga vulnerabilidades de segurança

O Project Zero do Google agora está sendo mais atencioso com a forma como divulga vulnerabilidades de segurança 1

A equipe de cibersegurança do Project Zero do Google está testando uma nova política em que não tornará públicas vulnerabilidades de segurança logo após a correção de uma correção. “90 dias completos por padrão, independentemente de quando o bug foi corrigido”, é a nova política da equipe, que será testada por um ano antes de decidir se a adotará permanentemente.

Sob o antigo sistema, os pesquisadores do Projeto Zero dariam aos fornecedores 90 dias para corrigir um problema antes de tornar o problema público. No entanto, se um patch fosse emitido dentro dessa janela de 90 dias, seria divulgada a vulnerabilidade mais cedo. Isso pode ser um problema, porque significa que os usuários precisam se apressar para corrigir uma vulnerabilidade antes que os hackers possam explorá-la. Uma vulnerabilidade pode ser corrigida pela empresa, mas isso não importa se o patch não foi amplamente adotado.

Portanto, agora, independentemente de um patch ser emitido 20 dias ou 90 dias após o Project Zero informar um fornecedor sobre o problema, ele ainda aguardará 90 dias para tornar o problema público. Existem algumas exceções, no entanto. Uma é quando existe um “acordo mútuo” entre as duas empresas para divulgar com antecedência, e o Projeto Zero também pode estender o prazo por 14 dias, se levar mais tempo para um fornecedor montar um patch. O prazo de sete dias para vulnerabilidades que estão sendo exploradas na natureza permanecerá inalterado.

Além de dar mais tempo para que os patches sejam adotados, o Project Zero espera que a nova política melhore a consistência, dando aos fornecedores uma idéia melhor de quando uma vulnerabilidade será tornada pública. Ele também diz que está ansioso para ver correções mais iterativas e completas, graças ao tempo que os fornecedores terão entre o lançamento inicial de um patch e a vulnerabilidade que ele aborda ao tornar-se pública.

Nós recomendamos:  O Google estende a vida de mais de 100 Chromebooks com um ano extra de suporte de software

Apesar das mudanças, a equipe do Project Zero diz estar satisfeita com a forma como o período de divulgação funcionou até agora. Em 2014, quando a equipe iniciou seu trabalho, diz que os bugs às vezes não eram corrigidos seis meses após serem descobertos. Agora, dos problemas identificados (dos quais existem muitos), diz 97.7 por cento são corrigidos dentro de sua janela de 90 dias.