Учитывая претензии со стороны Microsoft, хакеры из проекта Project Zero решили слегка скорректировать сроки разглашения информации об уязвимостях, найденных в сторонних продуктах. Что ж делать, если некоторые компании не укладываются в стандартные сроки.

Теперь условия раскрытия информации изменяются. Если дедлайн приходится на выходные или праздники, то публикация переносится на ближайший рабочий день. Если у вендора готов патч для уязвимости, то дедлайн переносится на срок до 14 дней.

«Установка сроков перед разглашением информации об уязвимостях долгое время считалась стандартной практикой, — пишут в официальном блоге Project Zero. — Эта практика улучшает безопасность пользователей, стимулируя более быстрый выпуск патчей. Как указано в 45-дневном правиле CERT, она также “обеспечивает баланс между интересами общества, которое должно получить информацию, и интересами вендоров, чтобы эффективно отреагировать на уязвимость”». Аналогичные принципы публикации информации по прошествии определённого времени заложены в 90-дневное правило Yahoo и 120-дневное правило ZDI.

Нужно учитывать и тот факт, говорит Google, что хакерское сообщество зачастую тратит больше времени и усилий на поиск багов, чем фирма-разработчик. Соответственно, когда Project Zero находит очень опасную уязвимость в каком-либо продукте, есть большая вероятность, что этот баг уже известен злоумышленникам. Поэтому публикация уязвимости имеет смысл.

Раньше у Project Zero был стандартный срок раскрытия информации 90 дней. Но недавно произошёл ряд инцидентов с компанией Microsoft. После одного из них Microsoft выступила с публичной критикой компании Google за публикацию информации об уязвимости, для которой патч должны выпустить через два дня. По мнению Microsoft, конкуренты злорадно подвергли опасности пользователей Windows 8.1. В данном случае Microsoft слегка не уложилась в отведённые 90 дней. «Хотя публикация соответствует срокам, заявленным Google, но решение выглядит не столько соответствующим принципам, сколько своеобразному “ага, подловили”, — написал тогда Крис Бец (Chris Betz), старший директор Microsoft Security Response Center. — То, что хорошо для Google, не всегда является благом для пользователей. Мы призываем Google помнить о том, что защита пользователей — наша главная общая задача».

Устанавливая новые правила, представители Project Zero подчёркивают, однако, что далеко не все вендоры нарушали дедлайн. Например, отдел Adobe Flash закрыл 37 найденных уязвимостей (100%) в 90-дневный срок. Вообще, из 154 багов, найденных Project Zero к настоящему моменту, 85% было закрыто в срок. А если учитывать баги после 1 октября 2014 года, то и вовсе 95% закрыто. То есть Microsoft оставалась чуть ли не единственной компанией, которая не успевала залатать дыры вовремя.

6 комментариев

  1. 16.02.2015 at 15:35

    Adobe Flash закрыл 37 найденных уязвимостей (100%)

    А «флэш» всё латаю и латают…

  2. 16.02.2015 at 17:22

    Когда начинаешь считать баги flash то независимо ит тебя появляется вопрос что курят парни из Adobe ?
    Но насмешило это предложение

    Например, отдел Adobe Flash закрыл 37 найденных уязвимостей (100%) в 90-дневный срок.

    В Adobe столько багов находят что они уже умеют оперативно и быстро решать появившиеся баги.

    • 16.02.2015 at 17:57

      Ага, латают старые дыры и создают новые. Радиально поступил – отключил дополнения flash в Firefox.

  3. 17.02.2015 at 08:29

    Самое интересное в поведении Google- «ААААА, мы нашли баг у Microsoft, они не успели выложить патч в течении 90 дней (пофиг, что патч готов и будет выложен в день обновлений), мы выложим всю информацию в открытый доступ». Нашли баг со встроенным браузером в Андроид, причём баг такой, что вызывает мысли о преднамеренном его создании, так директор по проекту Андроида ответил: » Пфф, у нас столько много телефонов с этим багом, нам нужно столько много строк кода пересмотреть и исправить, что пофиг на баг, исправлять ничего не будем. Просто отключить встроенный браузер и пользуйтесь другим.»

  4. 17.02.2015 at 09:07

    Мелкософт: защита пользователей — наша главная общая задача

    Очень сомнительно, при своих многомиллиардных доходах они до сих пор не смогли устранить ошибки даже не во всем по, а хотя бы в своей убогой оси.

Оставить мнение