» »

Google rahlo omilil politiko razkrivanja ranljivosti

Google rahlo omilil politiko razkrivanja ranljivosti

Google - Google je v novi različici politike razkrivanja ranljivosti nekoliko omilil časovne roke, ki so v začetku tega leta povzročili veliko hude krvi. V okviru Projecta Zero je namreč Google našel ranljivosti v Microsoftovi in Applovi programski opremi, o čemer je proizvajalca obvestil. Ko v 90 dneh popravkov ni bilo, je Google v skladu s svojo politiko podrobnosti ranljivosti javno razkril, kar je hudo razburilo Microsoft in Apple. Microsoft je na primer imel popravek že bolj ali manj končan in je čakal še zadnje faze testiranja pred izdajo, kar so Googlu sporočilu, a so bili v Mountain Viewu neomajni; 90 dni je dovolj za vsakogar.

Sedaj so pri Googlu vendarle nekoliko omilili svojo politiko. Še vedno vztrajajo pri 90-dnevnem roku za razkrivanje ranljivosti, kar predstavlja zlato sredino siceršnjih rokov. CERT upošteva 45-dnevnega, ZDI pa recimo 120-dnevnega, vsi pa se strinjajo, da je obstoj rokov pomemben, ker daje proizvajalcem močno vzpodbudo za odpravljanje ranljivosti. Kot poudarjajo, napadalci tako ali tako v iskanje lukenj investirajo več sredstev kot nasprotna stran, zato je upravičena domneva, da so luknje v podzemlju že znane in naprodaj.

Google bo po 90-dnevnem roku uvedel 14-dnevni odlog (grace period), ko ranljivosti vseeno še ne bo javno priobčil, če mu bo proizvajalec zagotovil, da je popravek predviden za izdajo v naslednjem paketu popravkov, ki bo izšel v tem obdobju. Tako bodo proizvajalci lažje prilagodili spoštovanje 90-dnevnega roka svojemu ciklu izdajanja popravkov.

Statistika projekta Zero kaže, da bi 90 dni res moralo zadostovati. Adobe je v Flashu do danes iz projekta Zero odpravil 37 ranljivosti (100 %) v roku. V vsem času je Zero odkril 154 ranljivosti, izmed katerih je bilo 85 odstotkov popravljenih v roku. Statistika se izboljšuje, saj je po 1. oktobru 2014 ta delež zrasel na 95 odstotkov. Google dodaja še, da bodo še naprej vse proizvajalce obravnavali povsem enako, pa naj gre za veliki Microsoft ali kakšnega garažnega proizvajalca.

4 komentarji

win64 ::

Google dodaja še, da bodo še naprej vse proizvajalce obravnavali povsem enako, pa naj gre za veliki Microsoft ali kakšnega garažnega proizvajalca.

A to je kak hec? Pravkar so namreč spremenili pravila, ko se je oglasil velik proizvajalec.

Poldi112 ::

No in? Saj so jih spremenili za vse, ne samo za velike.
-------------------------------------------------
Nočem foto avatarja. Hočem risan avatar.
-------------------------------------------------

Looooooka ::

Kdaj je pa Google upošteval kakršna koli pravila al pa dogovorjene standarde? :))

Messiah ::

Poldi112 je izjavil:

No in? Saj so jih spremenili za vse, ne samo za velike.


Zaradi enege velikega ;)
P5N32-E SLI PLUS, C2D E6600@3,6
4GB DDR2, GTX480 + 8800GTX Physx


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Google vztraja pri 90-dnevnem roku za odpravo lukenj, Microsoft nejevoljen

Oddelek: Novice / Varnost
347784 (5417) BigWhale
»

Google in Microsoft pri krpanju lukenj s prstom kažeta drug na drugega

Oddelek: Novice / Varnost
75355 (1791) swar
»

Prvi dan Pwn2Own 2013 zlomljeni Chrome, Firefox, IE10 in Java

Oddelek: Novice / Varnost
135894 (3801) MrStein
»

Microsoft v zadnjem letu odkril sto ranljivosti v tretjih programih

Oddelek: Novice / Varnost
113138 (2096) BigWhale
»

Z ranljivostmi se živahno trguje

Oddelek: Novice / Omrežja / internet
74311 (2695) techfreak :)

Več podobnih tem