Google: мы будем молчать только 7 дней

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 3 июн 2013.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Специалисты по безопасности из компании Google по роду своей деятельности частенько обнаруживают 0day-уязвимости в сторонних продуктах. Особенно часто это случается с продуктами Adobe (Flash) и Microsoft (Windows), потому что эксплоиты, работающие через браузер Chrome, одновременно могут использовать и уязвимости во Flash и Windows. Недавно им попался на глаза еще один активно эксплуатируемый 0day в стороннем ПО, в каком именно — Google пока не сообщает.

    В таких случаях Google всегда немедленно передает информацию разработчику ПО, чтобы тот закрыл баг как можно скорее. Иногда бывает так, что обнаруженные эксплоиты используются для атаки на конкретные цели (таргетированные атаки). Например, на политическую оппозицию в определенной стране. По мнению Google, такие атаки гораздо серьезнее, чем атаки широкого фронта, и в таких случаях очень важно устранить уязвимость как можно быстрее.

    Текущие правила ответственного раскрытия информации в компании Google отводят производителю ПО срок в 60 дней на устранение уязвимости или на уведомление общественности об угрозе и способах защиты. После этого Google поощряет хакеров публиковать в открытом доступе всю информацию, которую они накопали по данной уязвимости, включая рабочие эксплоиты.

    Но теперь правила изменились. Как показывает опыт, в случае активной эксплуатации критической уязвимости мораторий на разглашение информации должен быть уменьшен до семи дней. Причина в том, что с каждым днем количество жертв увеличивается, и промедление здесь недопустимо.

    «Семь дней — это агрессивный срок, — пишет компания Google, — и некоторые производители могут не успеть обновить свои продукты, но этого должно быть достаточно для них, чтобы опубликовать рекомендации для пользователей о том, как попытаться защитить себя, избежать угрозы, временно закрыть сервис, ограничить доступ и т.д.».

    Таким образом, если в течение семи дней от вендора не поступит никакого ответа, то Google раскроет информацию о только что обнаруженной критической 0day-уязвимости.



    источник
     
    7 пользователям это понравилось.

Поделиться этой страницей