Según fuentes de la red, este año un equipo de investigadores del Proyecto Cero de Google que trabajan en el campo de la seguridad de la información cambiarán sus propias reglas según las cuales los datos sobre las vulnerabilidades descubiertas se harán públicos.
De acuerdo con las nuevas normas, la información sobre las vulnerabilidades encontradas no se hará pública hasta que haya transcurrido el plazo de 90 días. Independientemente de cuándo los desarrolladores resuelvan el problema, los representantes de Project Zero no divulgarán información al respecto públicamente. Las nuevas reglas se utilizarán a lo largo de este año, después de lo cual los investigadores evaluarán la viabilidad de implementarlas de forma continua.
En el pasado, los investigadores del Proyecto Cero daban a los desarrolladores de software 90 días para corregir las vulnerabilidades descubiertas. Si se lanzaba un parche que corrigía los errores antes de esta fecha límite, la información sobre la vulnerabilidad se hacía pública. Los investigadores consideraron que esto era incorrecto porque, en muchos casos, los usuarios tienen que apresurarse a instalar actualizaciones para evitar ser víctimas de los atacantes. El desarrollador puede corregir la vulnerabilidad, pero esto no importa si el parche no se distribuye ampliamente.
Entonces, independientemente de si la solución se publica 20 o 90 días después de que Project Zero informe el problema al desarrollador, la vulnerabilidad no se hará pública hasta 90 días después. Hay algunas excepciones a las reglas. Por ejemplo, si investigadores y desarrolladores llegan a un acuerdo, el tiempo para solucionar el problema podría ampliarse 14 días. Esto es posible si los desarrolladores de software necesitan más tiempo para crear un parche. El plazo de siete días para solucionar las vulnerabilidades que ya están siendo explotadas por los atacantes se mantendrá sin cambios.
Los investigadores del Proyecto Cero señalan que desde el inicio de sus actividades se ha trabajado mejor para eliminar las vulnerabilidades descubiertas. Por ejemplo, en 2014, cuando recién se fundó el proyecto, a veces las vulnerabilidades no se solucionaban ni siquiera seis meses después de su descubrimiento. Actualmente, el 97,7% de las vulnerabilidades detectadas son resueltas por los desarrolladores en un plazo de 90 días.
Fuente: 3dnews.ru