Segundo fontes da rede, este ano uma equipe de pesquisadores do Google Project Zero que atua na área de segurança da informação mudará suas próprias regras, segundo as quais os dados sobre vulnerabilidades descobertas se tornarão de conhecimento público.
De acordo com as novas regras, as informações sobre as vulnerabilidades encontradas não serão divulgadas até o término do prazo de 90 dias. Independentemente de quando os desenvolvedores resolverem o problema, os representantes do Project Zero não divulgarão informações sobre ele publicamente. As novas regras serão utilizadas ao longo deste ano, após o qual os investigadores avaliarão a viabilidade da sua implementação de forma contínua.
No passado, os pesquisadores do Project Zero deram aos desenvolvedores de software 90 dias para corrigir as vulnerabilidades descobertas. Se um patch que corrige erros for lançado antes desse prazo, as informações sobre a vulnerabilidade serão disponibilizadas publicamente. Os pesquisadores consideraram que isso era incorreto porque, em muitos casos, os usuários precisam se apressar para instalar as atualizações para evitar serem vítimas de invasores. O desenvolvedor pode corrigir a vulnerabilidade, mas isso não importa se o patch não for amplamente distribuído.
Portanto, agora, independentemente de a correção ser lançada 20 ou 90 dias após o Project Zero relatar o problema ao desenvolvedor, a vulnerabilidade não será tornada pública até 90 dias depois. Existem algumas exceções às regras. Por exemplo, se os pesquisadores e desenvolvedores chegarem a um acordo, o tempo para resolver o problema poderá ser prorrogado por 14 dias. Isso será possível se os desenvolvedores de software precisarem de mais tempo para criar um patch. O prazo de sete dias para correção de vulnerabilidades que já estão sendo exploradas por invasores permanecerá inalterado.
Pesquisadores do Projeto Zero observam que desde o início de suas atividades têm sido realizados melhores trabalhos para eliminar as vulnerabilidades descobertas. Por exemplo, em 2014, quando o projeto acabou de ser fundado, as vulnerabilidades às vezes não eram corrigidas nem mesmo seis meses após terem sido descobertas. Atualmente, 97,7% das vulnerabilidades detectadas são resolvidas pelos desenvolvedores em um período de 90 dias.
Fonte: 3dnews.ru