Google versoepelt deadline voor het onthullen van lekken
Google heeft de deadline die het hanteert om kwetsbaarheden in de producten van andere softwarebedrijven te onthullen iets versoepeld. Sinds vorig jaar zet de zoekgigant een team van hackers in genaamd Project Zero dat actief naar kwetsbaarheden in veelgebruikte programma's zoekt.
Zodra een kwetsbaarheid wordt gevonden krijgt de ingelichte leverancier 90 dagen de tijd om met een patch te komen, anders zal Google de details automatisch openbaren. Dit tot ergernis van Microsoft, dat in één geval na 92 dagen met een update kwam. De softwaregigant had Google gevraagd om de details pas na het verschijnen van de update openbaar te maken, maar daar werd geen gehoor aan gegeven. Daardoor zouden gebruikers onnodig risico hebben gelopen.
Versoepeling
Nu meldt Google dat het zich iets soepeler zal opstellen. Als een deadline in een weekend of tijdens Amerikaanse feestdagen verloopt, zal de deadline naar de eerst volgende werkdag worden verschoven. Daarnaast komt er een vrijwaringsperiode van 14 dagen. Als de deadline van 90 dagen verloopt maar de leverancier in de volgende 14 dagen met een update zegt te komen, zullen de details pas na het uitkomen van de patch verschijnen.
"Het openbaar maken van een ongepatcht probleem zal nu alleen plaatsvinden als de deadline bij meer dan twee weken wordt gemist", zegt Chris Evans van het Project Zero Team. De nieuwe regels gelden niet alleen voor dit onderzoeksteam van Google, maar voor alle onderdelen en medewerkers van de zoekgigant die kwetsbaarheden in de software van andere partijen ontdekken.
Succes
Ondanks het kritiek van sommige partijen op de deadline is die wel degelijk succesvol, stelt Evans. De meeste kwetsbaarheden die Project Zero ontdekte werden in Adobe Flash Player aangetroffen. Alle 37 gerapporteerde lekken aan Adobe werden binnen de deadline van 90 dagen gepatcht. In totaal ontdekte Project Zero 154 kwetsbaarheden, waarvan 85% binnen de deadline was verholpen.
In het geval van de 73 lekken die na 1 oktober 2014 aan leveranciers werden gemeld gaat het zelfs om 95%. En zoals het er nu naar uitziet zullen er in februari geen deadlines worden gemist. "Deadlines lijken te werken om de patchtijd en veiligheid voor gebruikers te verbeteren, zeker als ze consequent worden gehandhaafd", merkt Evans op.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.