Il team di sicurezza di Project Zero di Google attenderà ora tutti i 90 giorni prima di rivelare le vulnerabilità scoperte.
Project Zero è una divisione di sicurezza impiegata da Google, che era fondata nel 2014. La missione principale del team è scoprire le vulnerabilità zero-day, ovvero vulnerabilità sconosciute (o non affrontate) dalla parte che dovrebbe essere interessata alla sua mitigazione. "Cuore sanguinante" lo è uno di questi exploit zero-day, che è stato segnalato privatamente a OpenSSL da due team di sicurezza separati. Uno di questi team di sicurezza operava sotto Google e alla fine portò alla creazione di Project Zero. Il bug è stato scoperto nell'aprile del 2014, pochi giorni dopo è stata rilasciata una build di OpenSSL con il bug corretto insieme alla divulgazione completa del bug. Questa completa divulgazione significava che i sistemi non aggiornati immediatamente erano a rischio, sebbene ciò generalmente serva da motivazione per i team di sviluppatori ad aggiornare il proprio software.
Da allora, il Project Zero di Google ha funzionato in modo simile. Quando viene scoperto un bug zero-day, il team lo segnala privatamente all'azienda proprietaria del software. Dalla data della divulgazione, l'azienda ha 90 giorni di tempo per correggere il bug. Se lo risolvono prima del completamento della finestra di 90 giorni, Google rilascerà i dettagli della vulnerabilità. Se trascorrono 90 giorni senza che il problema venga risolto, il team rilascerà comunque la vulnerabilità, come previsto gli utenti consapevoli dei problemi che il software che stanno utilizzando può avere, motivando potenzialmente l'azienda a lavorare Più veloce. C'è un difetto che i venditori percepiscono con questo sistema e, proprio come con Heartbleed, sono gli utenti (o sviluppatori) potrebbero non essere in grado di aggiornare i propri sistemi abbastanza velocemente prima di diventarne vittima sfruttamento. Per questo motivo, il team di Project Zero ha annunciato che per tutto l'anno proveranno ad attendere i 90 giorni, indipendentemente dalla rapidità (o lentezza) con cui la vulnerabilità viene risolta.
La politica di Google di rivelare i bug entro 7 giorni se trovano prove che il bug viene sfruttato in natura non viene influenzata. Nello stesso post sul blog, il team di Project Zero ha annunciato anche una serie di altri piccoli cambiamenti. Google è inoltre orgogliosa di annunciare che il 97,7% di tutti i problemi rilevati vengono risolti entro un periodo di 90 giorni. Puoi leggere il post completo del blog qui sotto.
Fonte: Progetto Zero di Google