Segundo fontes online, a equipe Project Zero do Google, composta por pesquisadores de segurança da informação, mudará suas próprias regras de divulgação de vulnerabilidades ainda este ano.
De acordo com as novas regras, informações sobre vulnerabilidades descobertas não serão divulgadas publicamente até que o período de 90 dias tenha transcorrido. Independentemente de quando os desenvolvedores resolverem o problema, os representantes do Project Zero não divulgarão informações sobre ele publicamente. As novas regras estarão em vigor durante este ano, após o qual os pesquisadores avaliarão a viabilidade de implementá-las permanentemente.
No passado, os pesquisadores do Project Zero davam aos desenvolvedores de software 90 dias para corrigir as vulnerabilidades descobertas. Se uma correção fosse lançada antes desse prazo, as informações sobre a vulnerabilidade se tornariam públicas. Os pesquisadores acreditavam que isso era inadequado, pois, em muitos casos, os usuários precisavam correr para instalar as atualizações a fim de evitar serem vítimas de ataques. Um desenvolvedor podia corrigir a vulnerabilidade, mas isso era irrelevante se a correção não fosse amplamente distribuída.
Portanto, independentemente de a correção ser lançada 20 ou 90 dias após o Project Zero notificar o desenvolvedor sobre o problema, as informações sobre a vulnerabilidade só serão divulgadas após 90 dias. Existem algumas exceções a essa regra. Por exemplo, se pesquisadores e desenvolvedores chegarem a um acordo, o prazo para corrigir o problema poderá ser estendido em 14 dias. Isso é possível caso os desenvolvedores de software precisem de mais tempo para criar uma correção. O prazo de sete dias para corrigir vulnerabilidades já exploradas por atacantes permanecerá inalterado.
Os pesquisadores do Project Zero observam que, desde sua criação, a qualidade do trabalho de correção de vulnerabilidades descobertas melhorou. Por exemplo, em 2014, quando o projeto foi criado, vulnerabilidades às vezes permaneciam sem correção mesmo seis meses após sua descoberta. Atualmente, 97,7% das vulnerabilidades descobertas são corrigidas pelos desenvolvedores em até 90 dias.
Fonte: 3dnews.ru
