Home-theater-designers
Google Project Zero, een team van beveiligingsexperts in dienst van de zoekgigant met de taak om zero-day softwarekwetsbaarheden op te sporen, heeft zijn richtlijnen voor het vrijgeven van kwetsbaarheden bijgewerkt.
Het bijgewerkte beleid voegt een extra periode van 30 dagen toe aan sommige onthullingen van beveiligingsbugs. Voordien zouden Google-onderzoekers details van kwetsbaarheden publiceren op hun online bugtracker aan het einde van een periode van 90 dagen, of nadat de bug was gepatcht.
hoeveel kost youtube premium?
Langer om te patchen
De extra maand (ongeveer) geeft zowel leveranciers als gebruikers wat meer tijd om de nodige patches voor hun software te ontwikkelen, te delen en te installeren voordat details van de kwetsbaarheid online worden gedeeld. Dit is goed nieuws, want op het moment dat details over kwetsbaarheden online worden gedeeld, kunnen ze mogelijk door aanvallers worden gebruikt.
Hoewel patches meestal zijn uitgebracht op het moment dat details over kwetsbaarheden worden gepubliceerd, is dit nog steeds afhankelijk van gebruikers die de patches zelf hebben geïnstalleerd. In sommige gevallen kan dit een tijdrovende klus zijn. De extra 30 dagen van Google is daarom goed nieuws.
'Het doel van onze beleidsupdate voor 2021 is om de tijdlijn voor het adopteren van patches een expliciet onderdeel te maken van ons beleid voor openbaarmaking van kwetsbaarheden', zei Tim Willis van Project Zero Vendors in een blogpost de verandering beschrijven. 'Verkopers hebben nu 90 dagen de tijd om patches te ontwikkelen en nog eens 30 dagen om de patch te adopteren.'
Project Zero verlengt bovendien de extra respijtperiode van 30 dagen tot: zero day-kwetsbaarheden die actief worden uitgebuit tegen gebruikers in het wild. Hoewel de deadline voor het patchen slechts zeven dagen is, worden technische details pas 30 dagen na de fix gepubliceerd, zolang het probleem door ontwikkelaars wordt opgelost. Zo niet, dan worden de technische details onmiddellijk gepubliceerd.
Ook uitgebreid tot zero-day-kwetsbaarheden
Deze nieuwe regels gaan gelden voor 2021, al kan er in de toekomst nog wel eens iets veranderen. Zoals de blogpost opmerkt: 'Onze voorkeur gaat uit naar het kiezen van een startpunt waar de meeste leveranciers consequent aan kunnen voldoen, en vervolgens geleidelijk de tijdlijnen voor de ontwikkeling van patches en de acceptatie van patches te verlagen.'
Het is een zware klus om dit soort openbaarmakingen goed te krijgen, waarbij de belangen van gebruikers worden afgewogen tegen het geven van voldoende tijd aan ontwikkelaars om een patch te ontwikkelen en uit te brengen. Zoals het Project Zero-team zich duidelijk bewust is, is dit een gebied dat zal worden aangepast naarmate cyberbeveiligings- en patchingmaatregelen zich ontwikkelen.
Windows 10 duurt een eeuwigheid om in te loggen
Voor nu zou je het echter moeilijk hebben om te suggereren dat de beveiligingsexperts van Google niet het juiste doen.
Afbeelding tegoed: Mitchell Luo/ Unsplash CC
Deel Deel Tweeten E-mail Microsoft's Patch Tuesday verhelpt zero-day-exploit en andere kritieke bugsWerk uw Windows-systemen bij om ze te beschermen tegen de kritieke kwetsbaarheden.
Lees volgende Gerelateerde onderwerpen- Veiligheid
- Technisch nieuws
- Cyberbeveiliging
Luke is al sinds het midden van de jaren negentig een Apple-fan. Zijn belangrijkste interesses met betrekking tot technologie zijn slimme apparaten en de kruising tussen technologie en de vrije kunsten.
Meer van Luke DormehlAbonneer op onze nieuwsbrief
Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!
Klik hier om je te abonneren