Критика Microsoft повлияла на правила раскрытия уязвимостей в Google

Около месяца назад в сфере информационной безопасности произошёл инцидент, неприятный для нескольких технологических компаний. Корпорация Google раскрыла подробности уязвимости, существовавшей в большинстве поддерживаемых версий Windows. В Microsoft раскритиковали это решение, заявив, что поисковый гигант не предоставил достаточно времени на исправление бреши, и пытается «подловить» своего конкурента на ошибке.

Запущенный Google проект Project Zero имеет чёткие правила о том, когда информация о заявленной уязвимости становится публично доступной. Если производитель ПО не успевает исправить её в течение 90 дней, компания сообщает о бреши. Это делается для того, чтобы IT-отделы и обычные пользователи, которые могут быть подвержены риску, приняли меры по уменьшению угрозы.

В прошлом месяце Microsoft не хватило всего несколько дней, чтобы выпустить исправление в рамках Patch Tuesday, и злоумышленники могли воспользоваться этим временем для эксплуатации бреши. Чтобы предотвратить повторение подобной ситуации, Google решила внести поправки в свои правила.

Если разработчик ПО сообщит о том, что не успевает выпустить исправление в отпущенный 90-дневный срок, ему дают ещё 14 дней на подготовку и выпуск патча. «Если 90-дневный срок подходит к концу, но поставщик сообщит нам, что выход исправления запланирован на определённую дату в рамках 14-дневного периода, информация будет публично раскрыта в этот день», — говорится в уведомлении Project Zero.

Помимо этого, Google не будет раскрывать данные об уязвимостях по выходным и в праздничные дни.

В Microsoft посчитали нововведения в правилах Project Zero благоприятными, но без доли критики не обошлось. «При том, что мы приветствуем правки в процессе раскрытия, мы не согласны с устанавливаемым крайним сроком, так как каждое обновление безопасности уникально, и время разработки, а также тестирования может различаться», — заявил Крис Бетз (Chris Betz), старший руководитель Microsoft Security Response Center в своём заявлении.

Для сравнения, если Project Zero раскрывает уязвимости всего через 90 дней, то аналогичный проект Zero Day Initiative (ZDI) даёт разработчикам 120 дней. Организация Computer emergency response teams CERT при американском научно-исследовательском заведении Software Engineering Institute (SEI), которая также собирает уведомления об уязвимостях, предоставляет намного меньше времени — всего 45 дней, при этом она может изменить данный срок, если посчитает это целесообразным.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.

Материалы по теме

Виджет от SocialMart

© 3DNews