Το Google Project Zero, μια ομάδα εμπειρογνωμόνων ασφάλειας που απασχολείται από τον γίγαντα αναζήτησης με τη δουλειά να εντοπίζει ευπάθειες λογισμικού μηδενικής ημέρας, ενημέρωσε τις οδηγίες αποκάλυψης ευπάθειας.
Η ενημερωμένη πολιτική προσθέτει ένα επιπλέον παράθυρο 30 ημερών σε ορισμένες αποκαλύψεις σφαλμάτων ασφαλείας. Πριν από αυτό, οι ερευνητές της Google θα δημοσίευαν λεπτομέρειες σχετικά με τις ευπάθειες στον διαδικτυακό τους εντοπιστή σφαλμάτων στο τέλος ενός παραθύρου 90 ημερών ή μετά την επιδιόρθωση του σφάλματος.
πώς να συνδέσετε το χειριστήριο xbox με τον υπολογιστή bluetooth
Longer to Patch
Ο επιπλέον μήνας (περίπου) δίνει στους προμηθευτές και στους χρήστες λίγο περισσότερο χρόνο για να αναπτύξουν, να μοιραστούν και να εγκαταστήσουν τις απαραίτητες ενημερώσεις κώδικα για το λογισμικό τους, προτού κοινοποιηθούν στο διαδίκτυο λεπτομέρειες σχετικά με την ευπάθεια. Αυτά είναι καλά νέα καθώς από τη στιγμή που μοιράζονται τα στοιχεία ευπάθειας στο διαδίκτυο θα μπορούσαν ενδεχομένως να οπλιστούν από επιτιθέμενους.
Παρόλο που οι ενημερώσεις κώδικα έχουν κυκλοφορήσει συχνότερα από το σημείο που δημοσιεύονται οι λεπτομέρειες ευπάθειας, αυτό εξακολουθεί να βασίζεται στους χρήστες που έχουν εγκαταστήσει οι ίδιοι τις ενημερώσεις κώδικα. Σε ορισμένες περιπτώσεις, αυτό μπορεί να είναι ένα χρονοβόρο έργο. Οι επιπλέον 30 ημέρες της Google είναι επομένως καλά νέα.
«Ο στόχος της ενημέρωσης της πολιτικής μας για το 2021 είναι να καταστήσουμε το χρονοδιάγραμμα υιοθέτησης ενημερωμένης έκδοσης κώδικα ρητό μέρος της πολιτικής μας για αποκάλυψη ευπάθειας», δήλωσε ο Tim Willis από το Project Zero Vendors. ανάρτηση περιγράφοντας την αλλαγή. «Οι προμηθευτές θα έχουν τώρα 90 ημέρες για την ανάπτυξη ενημερωμένων εκδόσεων και επιπλέον 30 ημέρες για την έγκριση της ενημερωμένης έκδοσης κώδικα».
Το Project Zero επεκτείνει επιπλέον την επιπλέον περίοδο χάριτος 30 ημερών σε μηδενικές ευπάθειες ημέρας που εκμεταλλεύονται ενεργά εναντίον χρηστών στη φύση. Ενώ η προθεσμία αποκάλυψης είναι μόλις επτά ημέρες για την επιδιόρθωση, οι τεχνικές λεπτομέρειες θα δημοσιευτούν μόνο 30 ημέρες μετά την επιδιόρθωση--εφόσον το πρόβλημα διορθωθεί από προγραμματιστές. Εάν όχι, οι τεχνικές λεπτομέρειες θα δημοσιευτούν αμέσως.
Επεκτάθηκε στις ευπάθειες μηδενικής ημέρας, επίσης
Αυτοί οι νέοι κανόνες θα ισχύουν για το 2021, αν και τα πράγματα θα μπορούσαν να αλλάξουν ξανά στο μέλλον. Όπως σημειώνει η ανάρτηση του ιστολογίου: 'Η προτίμησή μας είναι να επιλέξουμε ένα σημείο εκκίνησης που θα μπορούν να ικανοποιούνται με συνέπεια από τους περισσότερους προμηθευτές και στη συνέχεια να μειώνουμε σταδιακά τόσο τα χρονοδιαγράμματα ανάπτυξης μπαλωμάτων όσο και υιοθέτησης ενημερωμένων εκδόσεων.'
Η σωστή γνωστοποίηση τέτοιου είδους γνωστοποιήσεων είναι μια δύσκολη δουλειά, εξισορροπώντας το βέλτιστο συμφέρον των χρηστών, δίνοντας στους προγραμματιστές επαρκή χρόνο για να αναπτύξουν και να κυκλοφορήσουν μια ενημερωμένη έκδοση κώδικα. Όπως είναι σαφές ότι η ομάδα του Project Zero, είναι ένας τομέας που θα συνεχίσει να τροποποιείται καθώς αναπτύσσονται μέτρα κυβερνοασφάλειας και επιδιόρθωσης.
internet stick για φορητό υπολογιστή χωρίς συμβόλαιο
Προς το παρόν, όμως, θα δυσκολευτείτε να προτείνετε ότι οι ειδικοί ασφαλείας της Google δεν κάνουν το σωστό.
Πιστωτική εικόνα: Mitchell Luo/ Unsplash CC
Μερίδιο Μερίδιο Τιτίβισμα ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ Το Patch Tuesday της Microsoft διορθώνει το Zero-Day Exploit και άλλα κρίσιμα σφάλματαΕνημερώστε τα συστήματά σας Windows για προστασία από τις κρίσιμες ευπάθειες.
Διαβάστε Επόμενο Σχετικά θέματα- Ασφάλεια
- Τεχνικά Νέα
- Κυβερνασφάλεια
Ο Λουκ ήταν οπαδός της Apple από τα μέσα της δεκαετίας του 1990. Τα κύρια ενδιαφέροντά του που αφορούν την τεχνολογία είναι οι έξυπνες συσκευές και η τομή μεταξύ τεχνολογίας και φιλελεύθερων τεχνών.
Περισσότερα από τον Luke DormehlΕγγραφείτε στο newsletter μας
Εγγραφείτε στο ενημερωτικό μας δελτίο για τεχνικές συμβουλές, κριτικές, δωρεάν ebooks και αποκλειστικές προσφορές!
Κάντε κλικ εδώ για εγγραφή