Home-theater-designers
Google Project Zero, un equipo de expertos en seguridad empleados por el gigante de las búsquedas con el trabajo de buscar vulnerabilidades de software de día cero, ha actualizado sus pautas de divulgación de vulnerabilidades.
La política actualizada agrega una ventana adicional de 30 días a algunas divulgaciones de errores de seguridad. Antes de esto, los investigadores de Google publicaban los detalles de las vulnerabilidades en su rastreador de errores en línea al final de una ventana de 90 días, o después de que se corrigiera el error.
cómo crear texturas en photoshop
Más tiempo para parchear
El mes adicional (aproximadamente) les da a los proveedores y usuarios un poco más de tiempo para desarrollar, compartir e instalar los parches necesarios para su software antes de que los detalles de la vulnerabilidad se compartan en línea. Esta es una buena noticia, ya que en el momento en que los detalles de la vulnerabilidad se comparten en línea, los atacantes podrían potencialmente convertirlos en armas.
Aunque los parches se publican con mayor frecuencia en el momento en que se publican los detalles de la vulnerabilidad, eso aún depende de que los usuarios hayan instalado los parches ellos mismos. En algunos casos, esta puede ser una tarea que requiere mucho tiempo. Por lo tanto, los 30 días adicionales de Google son una buena noticia.
`` El objetivo de nuestra actualización de política de 2021 es hacer que el cronograma de adopción de parches sea una parte explícita de nuestra política de divulgación de vulnerabilidades '', dijo Tim Willis de Project Zero Vendors en un entrada en el blog describiendo el cambio. 'Los proveedores ahora tendrán 90 días para el desarrollo de parches y 30 días adicionales para la adopción de parches'.
Project Zero también está ampliando el período de gracia adicional de 30 días para vulnerabilidades de día cero que se explotan activamente contra los usuarios en la naturaleza. Si bien la fecha límite de divulgación es de solo siete días para la revisión, los detalles técnicos solo se publicarán 30 días después de la corrección, siempre que los desarrolladores solucionen el problema. De lo contrario, los detalles técnicos se publicarán de inmediato.
Vulnerabilidades extendidas a día cero, también
Estas nuevas reglas se aplicarán para 2021, aunque las cosas podrían cambiar nuevamente en el futuro. Como señala la publicación del blog: 'Nuestra preferencia es elegir un punto de partida que la mayoría de los proveedores puedan cumplir de manera consistente, y luego reducir gradualmente los plazos de desarrollo y adopción de parches'.
Hacer este tipo de divulgaciones correctamente es un trabajo difícil, equilibrar los mejores intereses de los usuarios con dar a los desarrolladores el tiempo suficiente para desarrollar y lanzar un parche. Como el equipo de Project Zero sabe claramente, es un área que continuará modificándose a medida que se desarrollen las medidas de ciberseguridad y parches.
pagar impuestos ventas de ebay 12 consejos sencillos
Por ahora, sin embargo, sería difícil sugerir que los expertos en seguridad de Google no están haciendo lo correcto.
Crédito de la imagen: Mitchell Luo / Unsplash CC
Cuota Cuota Pío Correo electrónico El martes de parches de Microsoft corrige el exploit de día cero y otros errores críticosActualice sus sistemas Windows para protegerse contra las vulnerabilidades críticas.
Leer siguiente Temas relacionados- Seguridad
- Noticias tecnológicas
- La seguridad cibernética
Luke ha sido fanático de Apple desde mediados de la década de 1990. Sus principales intereses relacionados con la tecnología son los dispositivos inteligentes y la intersección entre la tecnología y las artes liberales.
Más de Luke DormehlSuscríbete a nuestro boletín
¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!
Haga clic aquí para suscribirse