Po navedbah omrežnih virov bo letos skupina raziskovalcev Google Project Zero, ki delajo na področju informacijske varnosti, spremenila lastna pravila, po katerih bodo podatki o odkritih ranljivostih javno znani.
V skladu z novimi pravili informacije o najdenih ranljivostih ne bodo javno objavljene do izteka 90-dnevnega roka. Ne glede na to, kdaj bodo razvijalci težavo rešili, predstavniki Project Zero informacij o tem ne bodo javno razkrili. Nova pravila bodo uporabljena tekom letošnjega leta, nato pa bodo raziskovalci ocenili izvedljivost njihovega sprotnega izvajanja.
V preteklosti so raziskovalci Project Zero dali razvijalcem programske opreme 90 dni, da popravijo odkrite ranljivosti. Če je bil pred tem datumom izdan popravek, ki popravlja napake, so informacije o ranljivosti postale javno dostopne. Raziskovalci so menili, da to ni pravilno, saj morajo uporabniki v mnogih primerih hiteti z namestitvijo posodobitev, da ne bi postali žrtev napadalcev. Razvijalec lahko popravi ranljivost, vendar to ni pomembno, če popravek ni široko razširjen.
Torej zdaj, ne glede na to, ali je popravek izdan 20 ali 90 dni po tem, ko Project Zero prijavi težavo razvijalcu, ranljivost ne bo javno objavljena do 90 dni pozneje. Obstaja nekaj izjem od pravil. Na primer, če raziskovalci in razvijalci dosežejo dogovor, se lahko čas za odpravo težave podaljša za 14 dni. To je mogoče, če razvijalci programske opreme potrebujejo več časa za ustvarjanje popravka. Sedemdnevni rok za odpravo ranljivosti, ki jih napadalci že izkoriščajo, bo ostal nespremenjen.
Raziskovalci iz projekta Zero ugotavljajo, da je bilo od začetka njihovih dejavnosti opravljeno boljše delo za odpravo odkritih ranljivosti. Na primer, leta 2014, ko je bil projekt šele ustanovljen, ranljivosti včasih niso bile odpravljene niti šest mesecev po odkritju. Trenutno 97,7 % odkritih ranljivosti razvijalci odpravijo v 90-dnevnem obdobju.
Vir: 3dnews.ru