Tidsfristen til Googles Project Zero for avsløring av ikke-fjernede sårbarheter skal heretter være litt mindre streng. (Foto: PantherMedia/Sergey Nivens)

Google lover oppmyket praksis

Project Zero skal ikke lenger avsløre alle sårbarheter etter bare 90 dager.

Praksisen til Googles Project Zero-prosjekt om avsløring av sårbarheter det har funnet etter maksimalt 90 dager, uavhengig av om leverandøren av det sårbare produkter har fjernet sårbarheten eller ikke, har vært omdiskutert. I de fleste tilfeller burde 90 dager være mer enn nok for å fjerne en sårbarhet. Men det finnes vesentlige unntak, som sårbarheten omtalt i artikkelen nedenfor.

Les også 15 år gammel sårbarhet fikset

Microsoft

Det mest omtalte tilfellet dreide seg dog om en annen sårbarhet i Microsofts produkter. I dette tilfellet hadde Microsoft en sikkerhetsfiks klar, men ville vente med å gi den ut til den vanlige patche-tirsdagen. Dette var noen dager på overtid sammenlignet med 90-dagers fristen til Project Zero, som dermed avslørte detaljene om sårbarheten før sikkerhetsfiksen var blitt utgitt.

Les også: Microsoft refser Google

Begge parter var klar over den andres praksis, og begge kunne ha endret føyet seg. Men ingen av dem ville gjøre dette da.

Fredag i forrige uke kunngjorde Google en oppmykning i praksisen som vil hindre at en slik situasjon skjer igjen. Dette oppnås ved at det innføres en overgangsperiode på 14 dager etter at de første 90 har forfalt. Dette vil dog bare skje dersom Google har fått beskjed om at en sikkerhetsfiks vil bli utgitt i løpet av disse 14 dagene. Dersom sikkerhetsfiksen likevel ikke er gjort tilgjengelig etter 104 dager, vil deltaljene om sårbarheten bli offentliggjort. Dersom forfallsdatoen sammenfaller med en helg eller amerikansk helligdag, vil den bli utsatt til første vanlige arbeidsdag etter dette.

Hele selskapet

I blogginnlegget skriver Google at også resten av selskapet nå vil innføre den samme praksisen om avsløring av sårbarheter. I innlegget opplyses det at CERT følger en praksis med 45 dagers tidsfrist, Yahoo med 90 dager og ZDI med 120 dager. Google mener at en mellomting, 90 dager, er det mest passende. Da får leverandøren tid til å fjerne sårbarheten, samtidig som at tidsfristen legger et visst press på leverandøren, slik at sikkerhetsfiksen faktisk blir utviklet innen rimelig tid.

 

 

Til toppen