Google Project Zero, een team van beveiligingsexperts in dienst van de zoekgigant om zero day-softwarekwetsbaarheden op te sporen, heeft de richtlijnen voor het vrijgeven van kwetsbaarheden bijgewerkt.

Het bijgewerkte beleid voegt een extra venster van 30 dagen toe aan enkele onthullingen van beveiligingsbugs. Voordien publiceerden Google-onderzoekers details van kwetsbaarheden op hun online bugtracker aan het einde van een periode van 90 dagen, of nadat de bug was gepatcht.

Langer om te patchen

De extra maand (ongeveer) geeft zowel leveranciers als gebruikers wat meer tijd om te ontwikkelen, te delen en installeer de nodige patches voor hun software voordat details van de kwetsbaarheid online worden gedeeld. Dit is goed nieuws, want zodra kwetsbaarheidsdetails online worden gedeeld, kunnen deze mogelijk door aanvallers worden bewapend.

Hoewel patches meestal zijn uitgebracht op het moment dat kwetsbaarheidsdetails worden gepubliceerd, is dat nog steeds afhankelijk van gebruikers die de patches zelf hebben geïnstalleerd. In sommige gevallen kan dit een tijdrovende klus zijn. De extra 30 dagen van Google is daarom goed nieuws.

"Het doel van onze beleidsupdate voor 2021 is om de tijdlijn van de patch-acceptatie expliciet onderdeel te maken van ons beleid inzake het openbaar maken van kwetsbaarheden", zei Tim Willis van Project Zero Vendors in een blogpost beschrijft de verandering. "Leveranciers hebben nu 90 dagen voor patchontwikkeling en nog eens 30 dagen voor patch-acceptatie."

Project Zero verlengt bovendien de extra respijtperiode van 30 dagen naar zero day-kwetsbaarheden die actief worden uitgebuit tegen gebruikers in het wild. Hoewel de bekendmakingstermijn slechts zeven dagen is voor het patchen, worden technische details pas 30 dagen na de fix gepubliceerd, zolang het probleem is opgelost door de ontwikkelaars. Als dit niet het geval is, worden de technische details onmiddellijk gepubliceerd.

Ook uitgebreid naar Zero Day-kwetsbaarheden

Deze nieuwe regels gelden voor 2021, al kunnen de zaken in de toekomst weer veranderen. Zoals de blogpost opmerkt: "Onze voorkeur gaat uit naar een startpunt waaraan de meeste leveranciers consequent kunnen voldoen, en dan geleidelijk de tijdlijnen voor zowel patchontwikkeling als patch-acceptatie verlagen."

Het is een zware klus om dit soort onthullingen goed te krijgen, waarbij de belangen van de gebruikers in evenwicht moeten worden gebracht door ontwikkelaars voldoende tijd te geven om een ​​patch te ontwikkelen en uit te brengen. Zoals het Project Zero-team duidelijk weet, is dit een gebied dat voortdurend zal worden aangepast naarmate cyberbeveiligings- en patchmaatregelen zich ontwikkelen.

Voorlopig zou het echter moeilijk zijn om te suggereren dat de beveiligingsexperts van Google niet het juiste doen.

Beeldcredits: Mitchell Luo /Unsplash CC

E-mail
Patch Tuesday van Microsoft lost Zero-Day Exploit en andere kritieke bugs op

Werk uw Windows-systemen bij om u te beschermen tegen de kritieke kwetsbaarheden.

Lees Volgende

Gerelateerde onderwerpen
  • Tech Nieuws
  • Google
  • Cyberveiligheid
Over de auteur
Luke Dormehl (128 Artikelen gepubliceerd)

Luke is sinds het midden van de jaren negentig een Apple-fan. Zijn voornaamste interesses met technologie zijn slimme apparaten en de kruising tussen technologie en de vrije kunsten.

Meer van Luke Dormehl

Abonneer op onze nieuwsbrief

Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!

Nog een stap…!

Bevestig uw e-mailadres in de e-mail die we u zojuist hebben gestuurd.

.