Project Zero geeft OEM's een extra maand om fixes uit te rollen

Project Zero test een nieuw model om kwetsbaarheden te onthullen, waardoor OEM's meer tijd krijgen om patches uit te rollen voor getroffen gebruikers.

Het Project Zero-team van Google kondigt een aantal grote veranderingen aan in de manier waarop het beveiligingskwetsbaarheden openbaar maakt. Sinds de lancering heeft Project Zero een strikte openbaarmakingsdeadline van 90 dagen gevolgd. Wat dit betekent is dat Project Zero dat zal doen als er een kwetsbaarheid wordt gevonden wacht 90 dagen voordat u publiekelijk documenteert de technische details. Hierdoor kunnen leveranciers de fout in hun software repareren voordat aanvallers er misbruik van kunnen maken.

Project Nul is nu een nieuw model uitproberen voor 2021, waardoor OEM's een extra maand de tijd krijgen om patches uit te rollen voor de getroffen gebruikers. Eerder gebeurde de technische documentatie van een kwetsbaarheid zodra de deadline van 90 dagen was verstreken – ongeacht of er een patch was uitgegeven of niet. Als een OEM het probleem in het nieuwe model binnen de periode van 90 dagen oplost, zal de technische documentatie 30 dagen na de oplossing plaatsvinden.

Google zegt dat het nieuwe 90+30-beleid tot doel heeft om de adoptie van de patch een expliciet onderdeel van het openbaarmakingsprogramma te maken. Leveranciers hebben 90 dagen de tijd om de patch te ontwikkelen en 30 dagen om de oplossing uit te rollen naar hun gebruikers.

"Door over te stappen op een ‘90+30’-model kunnen we de tijd om te patchen loskoppelen van de adoptietijd van patches, waardoor het controversiële debat rond afwegingen tussen aanvaller en verdediger en het delen van technische details, terwijl wordt gepleit voor het verkorten van de tijd dat eindgebruikers kwetsbaar zijn tegen bekende aanvallen," zei Project Zero-manager Tim Willis in een blogpost.

In-the-wild-kwetsbaarheden, die actief worden uitgebuit, krijgen nog steeds een deadline van zeven dagen. Maar als een probleem nu binnen zeven dagen wordt verholpen, publiceert Google de technische details dertig dagen na de oplossing. Eerder zou Google de details op de zevende dag publiceren, ongeacht wanneer het probleem was opgelost. Bovendien kunnen leveranciers nu ook een respijtperiode van drie dagen aanvragen voor dit soort kwetsbaarheden, die voorheen niet werden aangeboden.

Het Project Zero-team erkent dat dit nieuwe beleid een lichte achteruitgang is ten opzichte van hun eerdere standpunt, waarin prioriteit werd gegeven aan het snel vrijgeven van technische details aan het publiek. Het team merkt echter op dat dit versoepelde beleid niet te lang zal blijven bestaan, omdat ze de openbaarmakingsdeadline in de nabije toekomst willen verkorten. Het team liet doorschemeren dat ze voor 2022 waarschijnlijk zouden overstappen op een 84+28-model.