Googles Project Zero-avdeling, som spesialiserer seg på å finne og rapporterte sikkerhetshull, har hittil gitt leverandører 90 dager på seg til å fikse rapporterte sårbarheter før de avslører de tekniske detaljene. Nå kunngjør avdelingen at praksisen skal endres.
Fra nå av kommer Project Zero til å vente 30 dager med å dele de tekniske detaljene – dersom patchen foreligger innen utløpet av 90-dagersperioden. Dermed gir Google i praksis aktører mer tid til å installere fiksene.
Tidligere praksis fungerte ikke
Tidligere har praksisen vært at detaljene publiseres etter 90-dagersperioden uansett om eller når sårbarheten ble fikset – som betyr at både patch-utviklingen og installeringen av patchene har måttet skje innen 90 dager for å unngå å risikere at ondsinnede aktører bruker de tekniske detaljene til å utføre angrep.
Med den nye endringen vil leverandørene altså fremdeles ha 90 dager på seg til å lage en patch, men deretter vil brukere ha 30 dager på seg til å implementere den før detaljene publiseres.
Den samme ordningen vil gjelde for sårbarheter som allerede utnyttes av hackere, hvor Google opererer med en frist på kun 7 dager. Om hullet lappes innen de 7 dagene vil brukere altså få 30 dager til å installere fiksen.
Årsaken til den nye endringen er ifølge Google at den tidligere praksisen, som var ment å legge et visst press på aktørene for å få fiksene på plass, ikke har fungert etter hensikten.
Lyttet til bekymringer
– Ideen var at dersom en leverandør ønsket å gi brukerne mer tid til å installere en patch, ville de prioritere å publisere fiksen tidligere i 90-dagerssyklusen i stedet for senere, skriver Google og legger til:
– Men i praksis observerte vi ikke en betydelig endring i tiden det tar å utvikle en patch, og vi fikk fortsatt tilbakemeldinger fra leverandører om at de var bekymret for offentliggjøring av tekniske detaljer om sårbarheter før de fleste brukere hadde installert patchen.
Ifølge Google er det en pågående debatt hvorvidt en betimelig deling av tekniske detaljer tjener angripere eller ofrene mest. Selskapet sier de har valgt å lytte til de som er bekymret for opportunistiske angrep som kan komme som et resultat av rask publisering av de tekniske detaljene, og mener den nye praksisen er et godt kompromiss.
_logo.svg.png){kind=logo}
I årene fremover akter Google å redusere tidsfristen gradvis inntil man kommer ned på et stabilt nivå som aktører kan etterkomme.
Google har allerede kritisert aktører for å ikke lage gode nok patcher – som innebærer at ondsinnede aktører ofte har en enkel jobb med å komme rundt dem. Hvordan en stadig kortere frist blir mottatt gjenstår dermed å se.
Mange sårbarheter fikses ikke skikkelig – gjør jobben mye enklere for hackere
