Google: Patch ernstige lekken binnen 60 dagen
Als het aan Google ligt worden ernstige beveiligingslekken altijd binnen zestig dagen gepatcht. De zoekgigant reageert op de eeuwige discussie tussen voor- en tegenstanders van full-disclosure. De discussie laaide op nadat Google-werknemer Tavis Ormandy een ernstig lek in Windows XP openbaarde, dat niet veel later door criminelen misbruikt werd voor het besmetten van computers.
Ormandy wilde dat Microsoft het lek binnen zestig dagen patchte, maar de softwaregigant zou daar niet meer akkoord zijn gegaan. Microsoft liet weten dat het verhaal van de beveiligingsonderzoeker niet klopt en er iets anders was afgesproken. Ormandy besloot echter niet op de aantijgingen uit Redmond te reageren.
Discussie
Dat neemt niet weg dat de discussie nog altijd voortduurt. In een gezamenlijke verklaring laten de belangrijkste Google-onderzoekers weten dat ze vinden dat het uiteindelijk gaat om het beschermen van gebruikers. "We zien een toename van het aantal leveranciers dat het principe van 'responsible disclosure' gebruikt om het patchen van lekken voor langere tijd uit te stellen, in sommige gevallen zelfs jaren", aldus de onderzoekers.
De kans bestaat daardoor dat in de tussentijd aanvallers het lek ook ontdekken en gebruikers zonder dat ze het weten risico lopen. Als een onderzoeker zich niet aan responsible disclosure houdt, wordt die door de leverancier vaak als onverantwoordelijk afgeschilderd. "Het tegenovergestelde is ook waar, het kan onverantwoord zijn om een lek voor zo'n lange periode open te laten."
Zestig dagen
Google ziet dat ervaren aanvallers steeds vaker zero-day lekken gebruiken die al geruime tijd bij de leverancier bekend zijn. Daarom is responsible disclosure tweerichtingsverkeer, aldus de Google-onderzoekers. "Leveranciers, alsmede onderzoekers, moeten verantwoord handelen. Ernstige lekken moeten binnen een redelijke tijd worden gepatcht."
De onderzoekers erkennen dat elk lek uniek is. "Maar we suggereren dat zestig dagen een redelijke limiet is voor ernstige lekken binnen veel gebruikte software." Daarbij merkt de zoekgigant op dat deze regel ook voor Google geldt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.