Google Project Zero, un equipo de expertos en seguridad empleados por el gigante de las búsquedas con el trabajo de buscar vulnerabilidades de software de día cero, ha actualizado sus pautas de divulgación de vulnerabilidades.
La política actualizada agrega una ventana adicional de 30 días a algunas divulgaciones de errores de seguridad. Antes de esto, los investigadores de Google publicaban detalles de las vulnerabilidades en su rastreador de errores en línea al final de una ventana de 90 días, o después de que se corrigiera el error.
Más tiempo para parchear
El mes adicional (aproximadamente) les da a los proveedores y usuarios un poco más de tiempo para desarrollar, compartir y instale los parches necesarios para su software antes de que los detalles de la vulnerabilidad se compartan en línea. Esta es una buena noticia, ya que en el momento en que los detalles de la vulnerabilidad se comparten en línea, los atacantes podrían potencialmente convertirlos en armas.
Aunque los parches se publican con mayor frecuencia en el momento en que se publican los detalles de la vulnerabilidad, eso aún depende de que los usuarios hayan instalado los parches ellos mismos. En algunos casos, esta puede ser una tarea que requiere mucho tiempo. Por lo tanto, los 30 días adicionales de Google son una buena noticia.
"El objetivo de la actualización de nuestra política de 2021 es hacer que el cronograma de adopción de parches sea una parte explícita de nuestra política de divulgación de vulnerabilidades", dijo Tim Willis de Project Zero Vendors en un entrada en el blog describiendo el cambio. "Los proveedores ahora tendrán 90 días para el desarrollo de parches y 30 días adicionales para la adopción de parches".
Project Zero también está ampliando el período de gracia adicional de 30 días para vulnerabilidades de día cero que se explotan activamente contra los usuarios en la naturaleza. Si bien el plazo de divulgación es de solo siete días para el parche, los detalles técnicos solo se publicarán 30 días después de la corrección, siempre que los desarrolladores solucionen el problema. De lo contrario, los detalles técnicos se publicarán de inmediato.
Vulnerabilidades extendidas a día cero, también
Estas nuevas reglas se aplicarán para 2021, aunque las cosas podrían cambiar nuevamente en el futuro. Como se señala en la publicación del blog: "Nuestra preferencia es elegir un punto de partida que la mayoría de los proveedores puedan cumplir de manera consistente, y luego reducir gradualmente los plazos de desarrollo y adopción de parches".
Hacer este tipo de divulgaciones correctamente es un trabajo difícil, equilibrar los mejores intereses de los usuarios con dar a los desarrolladores el tiempo suficiente para desarrollar y lanzar un parche. Como el equipo de Project Zero sabe claramente, es un área que continuará modificándose a medida que se desarrollen las medidas de ciberseguridad y parches.
Sin embargo, por ahora, sería difícil sugerir que los expertos en seguridad de Google no están haciendo lo correcto.
Crédito de la imagen: Mitchell Luo /Unsplash CC
Actualice sus sistemas Windows para protegerse contra las vulnerabilidades críticas.
Leer siguiente
- Noticias tecnológicas
- La seguridad cibernética
Luke ha sido fanático de Apple desde mediados de la década de 1990. Sus principales intereses relacionados con la tecnología son los dispositivos inteligentes y la intersección entre la tecnología y las artes liberales.
Suscríbete a nuestro boletín
¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!
Un paso más…!
Confirme su dirección de correo electrónico en el correo electrónico que le acabamos de enviar.