Selon des sources du réseau, cette année, une équipe de chercheurs du Google Project Zero travaillant dans le domaine de la sécurité de l'information modifiera ses propres règles, selon lesquelles les données sur les vulnérabilités découvertes seront rendues publiques.
Conformément aux nouvelles règles, les informations sur les vulnérabilités trouvées ne seront rendues publiques qu'à l'expiration du délai de 90 jours. Quel que soit le moment où les développeurs résoudront le problème, les représentants de Project Zero ne divulgueront pas publiquement d'informations à ce sujet. Les nouvelles règles seront utilisées au cours de cette année, après quoi les chercheurs évalueront la faisabilité de leur mise en œuvre de manière continue.
Dans le passé, les chercheurs de Project Zero donnaient aux développeurs de logiciels 90 jours pour corriger les vulnérabilités découvertes. Si un correctif corrigeant les erreurs était publié avant cette date limite, les informations sur la vulnérabilité devenaient alors accessibles au public. Les chercheurs ont estimé que cela était incorrect car dans de nombreux cas, les utilisateurs doivent se précipiter pour installer les mises à jour pour éviter d'être victimes d'attaquants. Le développeur peut corriger la vulnérabilité, mais cela n'a pas d'importance si le correctif n'est pas largement distribué.
Ainsi, que le correctif soit publié 20 ou 90 jours après que Project Zero ait signalé le problème au développeur, la vulnérabilité ne sera rendue publique que 90 jours plus tard. Il existe quelques exceptions aux règles. Par exemple, si les chercheurs et les développeurs parviennent à un accord, le délai de résolution du problème pourrait être prolongé de 14 jours. Cela est possible si les développeurs de logiciels ont besoin de plus de temps pour créer un correctif. Le délai de sept jours pour corriger les vulnérabilités déjà exploitées par des attaquants restera inchangé.
Les chercheurs du Projet Zero notent que depuis le début de leurs activités, un meilleur travail a été réalisé pour éliminer les vulnérabilités découvertes. Par exemple, en 2014, alors que le projet venait tout juste d’être lancé, les vulnérabilités n’étaient parfois pas corrigées, même six mois après leur découverte. Actuellement, 97,7 % des vulnérabilités détectées sont résolues par les développeurs dans un délai de 90 jours.
Source: 3dnews.ru