» »

Google rahlo omilil politiko razkrivanja ranljivosti

Google rahlo omilil politiko razkrivanja ranljivosti

Google - Google je v novi različici politike razkrivanja ranljivosti nekoliko omilil časovne roke, ki so v začetku tega leta povzročili veliko hude krvi. V okviru Projecta Zero je namreč Google našel ranljivosti v Microsoftovi in Applovi programski opremi, o čemer je proizvajalca obvestil. Ko v 90 dneh popravkov ni bilo, je Google v skladu s svojo politiko podrobnosti ranljivosti javno razkril, kar je hudo razburilo Microsoft in Apple. Microsoft je na primer imel popravek že bolj ali manj končan in je čakal še zadnje faze testiranja pred izdajo, kar so Googlu sporočilu, a so bili v Mountain Viewu neomajni; 90 dni je dovolj za vsakogar.

Sedaj so pri Googlu vendarle nekoliko omilili svojo politiko. Še vedno vztrajajo pri 90-dnevnem roku za razkrivanje ranljivosti, kar predstavlja zlato sredino siceršnjih rokov. CERT upošteva 45-dnevnega, ZDI pa recimo 120-dnevnega, vsi pa se strinjajo, da je obstoj rokov pomemben, ker daje proizvajalcem močno vzpodbudo za odpravljanje ranljivosti. Kot poudarjajo, napadalci tako ali tako v iskanje lukenj investirajo več sredstev kot nasprotna stran, zato je upravičena domneva, da so luknje v podzemlju že znane in naprodaj.

Google bo po 90-dnevnem roku uvedel 14-dnevni odlog (grace period), ko ranljivosti vseeno še ne bo javno priobčil, če mu bo proizvajalec zagotovil, da je popravek predviden za izdajo v naslednjem paketu popravkov, ki bo izšel v tem obdobju. Tako bodo proizvajalci lažje prilagodili spoštovanje 90-dnevnega roka svojemu ciklu izdajanja popravkov.

Statistika projekta Zero kaže, da bi 90 dni res moralo zadostovati. Adobe je v Flashu do danes iz projekta Zero odpravil 37 ranljivosti (100 %) v roku. V vsem času je Zero odkril 154 ranljivosti, izmed katerih je bilo 85 odstotkov popravljenih v roku. Statistika se izboljšuje, saj je po 1. oktobru 2014 ta delež zrasel na 95 odstotkov. Google dodaja še, da bodo še naprej vse proizvajalce obravnavali povsem enako, pa naj gre za veliki Microsoft ali kakšnega garažnega proizvajalca.

4 komentarji

win64 ::

Google dodaja še, da bodo še naprej vse proizvajalce obravnavali povsem enako, pa naj gre za veliki Microsoft ali kakšnega garažnega proizvajalca.

A to je kak hec? Pravkar so namreč spremenili pravila, ko se je oglasil velik proizvajalec.

Poldi112 ::

No in? Saj so jih spremenili za vse, ne samo za velike.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Looooooka ::

Kdaj je pa Google upošteval kakršna koli pravila al pa dogovorjene standarde? :))

49106 ::

Poldi112 je izjavil:

No in? Saj so jih spremenili za vse, ne samo za velike.


Zaradi enege velikega ;)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Zlobne spletne strani so brskale po iPhonih

Oddelek: Novice / Varnost
356332 (4052) MrStein
»

Google spet razkril nezkrpano ranljivost v Windows

Oddelek: Novice / Varnost
94651 (2654) MrStein
»

Google odkril in po dobrem tednu objavil ranljivost v Windows, Microsoft nejevoljen

Oddelek: Novice / Varnost
289159 (6429) krneki0001
»

Google vztraja pri 90-dnevnem roku za odpravo lukenj, Microsoft nejevoljen

Oddelek: Novice / Varnost
3411742 (9375) BigWhale
»

Google in Microsoft pri krpanju lukenj s prstom kažeta drug na drugega

Oddelek: Novice / Varnost
76864 (3300) swar

Več podobnih tem