Enligt nätverkskällor kommer i år ett team av Google Project Zero-forskare som arbetar inom området informationssäkerhet att ändra sina egna regler, enligt vilka data om upptäckta sårbarheter blir allmänt kända.
I enlighet med de nya reglerna kommer information om de upptäckta sårbarheterna inte att offentliggöras förrän 90-dagarsperioden har löpt ut. Oavsett när utvecklarna löser problemet kommer Project Zero-representanter inte att avslöja information om det offentligt. De nya reglerna kommer att användas under loppet av detta år, varefter forskare kommer att utvärdera genomförbarheten av att implementera dem löpande.
Tidigare gav Project Zero-forskare mjukvaruutvecklare 90 dagar på sig att fixa upptäckta sårbarheter. Om en patch som korrigerade fel släpptes före denna deadline, blev information om sårbarheten allmänt tillgänglig. Forskarna ansåg att detta var felaktigt eftersom användare i många fall måste skynda sig att installera uppdateringar för att undvika att bli offer för angripare. Utvecklaren kan fixa sårbarheten, men det spelar ingen roll om patchen inte är allmänt distribuerad.
Så nu, oavsett om korrigeringen släpps 20 eller 90 dagar efter att Project Zero rapporterade problemet till utvecklaren, kommer sårbarheten inte att offentliggöras förrän 90 dagar senare. Det finns några undantag från reglerna. Till exempel, om forskarna och utvecklarna kommer överens kan tiden för att åtgärda problemet förlängas med 14 dagar. Detta är möjligt om mjukvaruutvecklare behöver mer tid för att skapa en patch. Deadline på sju dagar för att åtgärda sårbarheter som redan utnyttjas av angripare kommer att förbli oförändrad.
Forskare från Project Zero noterar att sedan starten av deras verksamhet har ett bättre arbete utförts för att eliminera de upptäckta sårbarheterna. Till exempel, 2014, när projektet precis grundades, åtgärdades ibland sårbarheter inte ens sex månader efter att de upptäcktes. För närvarande löses 97,7 % av de upptäckta sårbarheterna av utvecklare inom en 90-dagarsperiod.
Källa: 3dnews.ru