O Google Project Zero, uma equipe de especialistas em segurança empregada pelo gigante das buscas com o trabalho de caçar vulnerabilidades de software de dia zero, atualizou suas diretrizes de divulgação de vulnerabilidades.
A política atualizada adiciona uma janela extra de 30 dias para algumas divulgações de bug de segurança. Antes disso, os pesquisadores do Google publicariam detalhes de vulnerabilidades em seu rastreador de bugs online no final de uma janela de 90 dias, ou depois que o bug fosse corrigido.
Longer to Patch
O mês adicional (aproximadamente) dá aos fornecedores e usuários um pouco mais de tempo para desenvolver, compartilhar e instale os patches necessários para seu software antes que os detalhes da vulnerabilidade sejam compartilhados online. Essa é uma boa notícia, pois no momento em que os detalhes da vulnerabilidade são compartilhados online, eles podem ser transformados em armas pelos invasores.
Embora os patches tenham sido lançados na maioria das vezes até o ponto em que os detalhes da vulnerabilidade são publicados, isso ainda depende de os próprios usuários terem instalado os patches. Em alguns casos, isso pode ser uma tarefa demorada. Os 30 dias extras do Google são, portanto, uma boa notícia.
"O objetivo de nossa atualização de política de 2021 é tornar o cronograma de adoção do patch uma parte explícita de nossa política de divulgação de vulnerabilidade", disse Tim Willis, do Project Zero Vendors, em um postagem do blog descrevendo a mudança. "Os fornecedores agora terão 90 dias para o desenvolvimento do patch e mais 30 dias para a adoção do patch."
O Projeto Zero também está estendendo o período de carência extra de 30 dias para vulnerabilidades de dia zero que estão sendo ativamente explorados contra usuários em liberdade. Embora o prazo de divulgação seja de apenas sete dias para a correção, os detalhes técnicos só serão publicados 30 dias após a correção, desde que o problema seja corrigido pelos desenvolvedores. Caso contrário, os detalhes técnicos serão publicados imediatamente.
Vulnerabilidades estendidas para dia zero também
Essas novas regras serão aplicadas em 2021, embora as coisas possam mudar novamente no futuro. Como a postagem do blog observa: "Nossa preferência é escolher um ponto de partida que possa ser atendido de forma consistente pela maioria dos fornecedores e, em seguida, reduzir gradualmente os cronogramas de desenvolvimento e adoção de patches."
Conseguir esse tipo de divulgação certa é uma tarefa difícil, equilibrando os melhores interesses dos usuários com o fornecimento de tempo suficiente para os desenvolvedores desenvolver e lançar um patch. Como a equipe do Project Zero está claramente ciente, é uma área que continuará a ser ajustada à medida que a segurança cibernética e as medidas de correção se desenvolvem.
Por enquanto, porém, você teria dificuldade em sugerir que os especialistas em segurança do Google não estão fazendo a coisa certa.
Crédito da imagem: Mitchell Luo /Unsplash CC
Atualize seus sistemas Windows para se proteger contra as vulnerabilidades críticas.
Leia a seguir
- Notícias de tecnologia
- Cíber segurança
Luke é fã da Apple desde meados da década de 1990. Seus principais interesses envolvendo tecnologia são dispositivos inteligentes e a interseção entre tecnologia e artes liberais.
Assine a nossa newsletter
Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!
Mais um passo…!
Confirme o seu endereço de e-mail no e-mail que acabamos de enviar.
