Google-ის Project Zero უსაფრთხოების გუნდი ახლა დაელოდება 90 დღეს, რათა გამოავლინოს ნებისმიერი დაუცველობა, რომელსაც აღმოაჩენს

Xda MiniNov 13, 2023

Google-ის Project Zero უსაფრთხოების გუნდი ახლა დაელოდება სრულ 90 დღეს, სანამ აღმოაჩენს დაუცველობას.

Project Zero არის Google-ის მიერ დასაქმებული უსაფრთხოების განყოფილება, რომელიც იყო დაარსდა 2014 წელს. გუნდის უპირველესი მისიაა აღმოაჩინოს ნულოვანი დღის დაუცველობა - ეს არის დაუცველობა, რომელიც უცნობია (ან მოუგვარებელია) მხარის მიერ, რომელიც დაინტერესებული უნდა იყოს მისი შერბილებით. "გულის სისხლდენა" არის ერთი ასეთი ნულოვანი დღის ექსპლუატაცია, რომელიც პირადად აცნობეს უსაფრთხოების ორმა ცალკეულმა ჯგუფმა OpenSSL-ს. უსაფრთხოების ერთ-ერთი გუნდი Google-ის ქვეშ მუშაობდა და საბოლოოდ Project Zero-ს შექმნამდე მიიყვანა. ხარვეზი აღმოაჩინეს 2014 წლის აპრილში, OpenSSL-ის კონსტრუქცია გამოსწორებული შეცდომით გამოვიდა რამდენიმე დღის შემდეგ, შეცდომის სრულ გამჟღავნებასთან ერთად. ეს სრული გამჟღავნება ნიშნავდა, რომ სისტემები, რომლებიც დაუყოვნებლივ არ განახლებულნი იყვნენ, რისკის ქვეშ იყვნენ, თუმცა ეს ზოგადად ემსახურება როგორც დეველოპერის გუნდების მოტივაციას განაახლონ პროგრამული უზრუნველყოფა.

მას შემდეგ Google-ის Project Zero მუშაობდა ანალოგიურად. როდესაც ნულოვანი დღის ხარვეზი აღმოჩენილია, გუნდი პირადად აცნობებს მას რომელ კომპანიას ეკუთვნის პროგრამული უზრუნველყოფა. გამჟღავნების დღიდან კომპანიას აქვს 90 დღე ხარვეზის გამოსასწორებლად. თუ ისინი შეასწორებენ მას 90-დღიანი ფანჯრის დასრულებამდე, Google გამოაქვეყნებს დაუცველობის დეტალებს. თუ 90 დღე გადის ამის გამოსწორების გარეშე, გუნდი მაინც გაათავისუფლებს დაუცველობას, რაც გამიზნულია მომხმარებლებმა იციან, რა პრობლემები შეიძლება ჰქონდეს მათ მიერ გამოყენებულ პროგრამულ უზრუნველყოფას და ასევე პოტენციურად მოტივაციას უწევს კომპანიის მუშაობას უფრო სწრაფად. არის ერთი ხარვეზი, რომელსაც გამყიდველები აღიქვამენ ამ სისტემაში და ისევე, როგორც Heartbleed-ის შემთხვევაში, ეს არის ის, რომ მომხმარებლები (ან დეველოპერებმა) შეიძლება ვერ შეძლონ თავიანთი სისტემების საკმარისად სწრაფად განახლება, სანამ გახდებიან მსხვერპლი ექსპლუატაცია. ამ მიზეზით, Project Zero-ს გუნდმა გამოაცხადა, რომ წლის განმავლობაში ისინი საცდელად ელოდებიან 90 დღეს, რაც არ უნდა სწრაფად (ან ნელი) იყოს დაუცველობა.

Google-ის პოლიტიკის შესახებ შეცდომების გამჟღავნება 7 დღეში, თუ ისინი აღმოაჩენენ მტკიცებულებებს, რომ შეცდომის ექსპლუატაცია ხდება ბუნებაში, არ იმოქმედებს. იმავე ბლოგ პოსტში, Project Zero-ს გუნდმა ასევე გამოაცხადა რიგი სხვა მცირე ცვლილებები. Google ასევე ამაყობს გამოაცხადოს, რომ ყველა პრობლემის 97.7%, რომელიც აღმოაჩენს, მოგვარებულია 90-დღიან ფანჯარაში. ბლოგის სრული პოსტის წაკითხვა შეგიძლიათ ქვემოთ.

წყარო: Google Project Zero