Ifølge netværkskilder vil et team af Google Project Zero-forskere, der arbejder inden for informationssikkerhed, i år ændre deres egne regler, hvorefter data om opdagede sårbarheder bliver offentligt kendt.
I henhold til de nye regler vil oplysninger om de fundne sårbarheder først blive offentliggjort, når 90 dages fristen er udløbet. Uanset hvornår udviklerne løser problemet, vil Project Zero-repræsentanter ikke offentliggøre oplysninger om det. De nye regler vil blive brugt i løbet af i år, hvorefter forskerne løbende vil vurdere muligheden for at implementere dem.
Tidligere gav Project Zero-forskere softwareudviklere 90 dage til at rette opdagede sårbarheder. Hvis en patch, der korrigerede fejl, blev frigivet før denne dato, blev oplysninger om sårbarheden offentligt tilgængelige. Forskerne mente, at dette var forkert, fordi brugere i mange tilfælde skal skynde sig at installere opdateringer for at undgå at blive offer for angribere. Udvikleren kan rette op på sårbarheden, men det betyder ikke noget, hvis patchen ikke er bredt udbredt.
Så nu, uanset om rettelsen er frigivet 20 eller 90 dage efter, at Project Zero har rapporteret problemet til udvikleren, vil oplysninger om sårbarheden først blive offentliggjort 90 dage senere. Der er nogle undtagelser fra reglerne. Hvis forskerne og udviklerne for eksempel når til enighed, kan tiden til at løse problemet blive forlænget med 14 dage. Dette er muligt, hvis softwareudviklere har brug for mere tid til at oprette en patch. Deadline på syv dage for at rette sårbarheder, der allerede udnyttes af angribere, forbliver uændret.
Forskere fra Project Zero bemærker, at der siden starten af deres aktiviteter er blevet udført bedre for at eliminere de opdagede sårbarheder. For eksempel, i 2014, da projektet netop blev grundlagt, blev sårbarheder nogle gange ikke rettet, selv seks måneder efter de blev opdaget. I øjeblikket bliver 97,7 % af de opdagede sårbarheder løst af udviklere inden for en 90-dages periode.
Kilde: 3dnews.ru
