Учитывая претензии со стороны Microsoft, хакеры из проекта Project Zero решили слегка скорректировать сроки разглашения информации об уязвимостях, найденных в сторонних продуктах. Что ж делать, если некоторые компании не укладываются в стандартные сроки.
Теперь условия раскрытия информации изменяются. Если дедлайн приходится на выходные или праздники, то публикация переносится на ближайший рабочий день. Если у вендора готов патч для уязвимости, то дедлайн переносится на срок до 14 дней.
«Установка сроков перед разглашением информации об уязвимостях долгое время считалась стандартной практикой, — пишут в официальном блоге Project Zero. — Эта практика улучшает безопасность пользователей, стимулируя более быстрый выпуск патчей. Как указано в 45-дневном правиле CERT, она также “обеспечивает баланс между интересами общества, которое должно получить информацию, и интересами вендоров, чтобы эффективно отреагировать на уязвимость”». Аналогичные принципы публикации информации по прошествии определённого времени заложены в 90-дневное правило Yahoo и 120-дневное правило ZDI.
Нужно учитывать и тот факт, говорит Google, что хакерское сообщество зачастую тратит больше времени и усилий на поиск багов, чем фирма-разработчик. Соответственно, когда Project Zero находит очень опасную уязвимость в каком-либо продукте, есть большая вероятность, что этот баг уже известен злоумышленникам. Поэтому публикация уязвимости имеет смысл.
Раньше у Project Zero был стандартный срок раскрытия информации 90 дней. Но недавно произошёл ряд инцидентов с компанией Microsoft. После одного из них Microsoft выступила спубличной критикой компании Google за публикацию информации об уязвимости, для которой патч должны выпустить через два дня. По мнению Microsoft, конкуренты злорадно подвергли опасности пользователей Windows 8.1. В данном случае Microsoft слегка не уложилась в отведённые 90 дней. «Хотя публикация соответствует срокам, заявленным Google, но решение выглядит не столько соответствующим принципам, сколько своеобразному “ага, подловили”, — написал тогда Крис Бец (Chris Betz), старший директор Microsoft Security Response Center. — То, что хорошо для Google, не всегда является благом для пользователей. Мы призываем Google помнить о том, что защита пользователей — наша главная общая задача».
Устанавливая новые правила, представители Project Zero подчёркивают, однако, что далеко не все вендоры нарушали дедлайн. Например, отдел Adobe Flash закрыл 37 найденных уязвимостей (100%) в 90-дневный срок. Вообще, из 154 багов, найденных Project Zero к настоящему моменту, 85% было закрыто в срок. А если учитывать баги после 1 октября 2014 года, то и вовсе 95% закрыто. То есть Microsoft оставалась чуть ли не единственной компанией, которая не успевала залатать дыры вовремя.
Источник: xakep.ru
Комментариев нет:
Отправить комментарий