Google kommer att vänta lite längre innan de publicerar information om dagens säkerhetshål

Project Zero är ett Google-team som har till uppgift att hitta säkerhetshål och rapportera dem till tillverkarna. Inte utan kontroverser på grund av enstaka publicering av detaljer om sårbarheter innan patchar är tillgängliga. Så Project Zero kommer att lägga till en period till sitt avslöjningsintervall.

Enligt de gamla reglerna hade programvaruleverantörer 90 dagar på sig att släppa patchar från det att Google avslöjade sårbarheten för leverantören. Oavsett om det händer eller inte, kommer det att avslöja nolldagssårbarheten för allmänheten, ofta med tillräckligt med detaljer för att en skurk ska kunna använda informationen för att skapa utnyttjande. Slutligen har Google lagt till en valfri respitperiod som programvaruleverantören kan begära om patchen närmar sig slutförandet.

Kritiker menar att den hårda tidsfristen utsätter allmänheten för risker om företaget aktivt arbetar för att hitta en lösning, men problemet är så komplext att det inte kan lösas på 90 dagar. Andra påpekar att vissa företag kanske inte vill skapa en lapp utan hårda fönster. Offentliga påtryckningar hjälper till att övertyga programvaruleverantörer att vidta åtgärder där de kanske inte skulle kunna göra det.

Att hitta den mellanvägen är den svåra delen, och Google säger att de kommer att göra justeringar för att ta itu med farhågor från det bredare säkerhetssamhället. År 2021 kommer det att vänta ytterligare 30 dagar för att avslöja sårbarhetsdetaljer om en leverantör släpper en patch innan fönster 90 tar slut. Tanken är att ge användarna tid att installera uppdateringar och skydda dem. Men om leverantören begär en förlängningsperiod kommer den perioden att inkluderas i uppdateringsperioden på 30 dagar.

Det är för det fall att Google misslyckas med att upptäcka en säkerhetsrisk som aktivt missbrukas. Innan det hände avslöjade Google alla detaljer inom sju dagar efter tillkännagivandet. I framtiden kommer den att avslöja sårbarheten efter sju dagar men vänta på publicering av tekniska detaljer i ytterligare 30 dagar.

Allt detta gäller bara 2021 för nästa år planerar Google att förkorta alla fönsterhån. Från och med 2022 kommer Project Zero att gå över till en “84 + 28”-modell – 84 dagar för avslöjande, plus ytterligare 28 dagar för fullständig information. Project Zero hoppas att förkortning av fönster kommer att uppmuntra snabbare patchutveckling. Det tyder också på att byte till dagar som är delbara med sju kommer att minska risken för att deadlines faller in på helgerna – när mjukvaruleverantörer ofta har många lediga dagar.

Källa: Project Zero