Специалисты по безопасности из компании Google по роду своей деятельности частенько обнаруживают 0day-уязвимости в сторонних продуктах. Особенно часто это случается с продуктами Adobe (Flash) и Microsoft (Windows), потому что эксплоиты, работающие через браузер Chrome, одновременно могут использовать и уязвимости во Flash и Windows. Недавно им попался на глаза еще один активно эксплуатируемый 0day в стороннем ПО, в каком именно — Google пока не сообщает.

В таких случаях Google всегда немедленно передает информацию разработчику ПО, чтобы тот закрыл баг как можно скорее. Иногда бывает так, что обнаруженные эксплоиты используются для атаки на конкретные цели (таргетированные атаки). Например, на политическую оппозицию в определенной стране. По мнению Google, такие атаки гораздо серьезнее, чем атаки широкого фронта, и в таких случаях очень важно устранить уязвимость как можно быстрее.

Текущие правила ответственного раскрытия информации в компании Google отводят производителю ПО срок в 60 дней на устранение уязвимости или на уведомление общественности об угрозе и способах защиты. После этого Google поощряет хакеров публиковать в открытом доступе всю информацию, которую они накопали по данной уязвимости, включая рабочие эксплоиты.

Но теперь правила изменились. Как показывает опыт, в случае активной эксплуатации критической уязвимости мораторий на разглашение информации должен быть уменьшен до семи дней. Причина в том, что с каждым днем количество жертв увеличивается, и промедление здесь недопустимо.

«Семь дней — это агрессивный срок, — пишет компания Google, — и некоторые производители могут не успеть обновить свои продукты, но этого должно быть достаточно для них, чтобы опубликовать рекомендации для пользователей о том, как попытаться защитить себя, избежать угрозы, временно закрыть сервис, ограничить доступ и т.д.».

Таким образом, если в течение семи дней от вендора не поступит никакого ответа, то Google раскроет информацию о только что обнаруженной критической 0day-уязвимости.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии