Project Zero vil gi OEM-er en ekstra måned til å rulle ut rettelser

Project Zero prøver ut en ny modell for å avsløre sårbarheter som vil gi mer tid til OEM-er til å rulle ut patcher til berørte brukere.

Googles Project Zero-team kunngjør noen store endringer i hvordan det avslører sikkerhetssårbarheter til offentligheten. Siden lanseringen har Project Zero fulgt en streng 90-dagers offentliggjøringsfrist. Hva dette betyr er at når en sårbarhet blir funnet, vil Project Zero gjøre det vent 90 dager før du dokumenterer offentlig de tekniske detaljene. Dette lar leverandører lappe feilen i programvaren før angripere kan utnytte den.

Project Zero er nå prøver en ny modell for 2021 som vil gi OEM-er en ekstra måned til å rulle ut patcher til de berørte brukerne. Tidligere skjedde den tekniske dokumentasjonen av en sårbarhet så snart 90-dagers fristen utløp – uavhengig av om en oppdatering ble utstedt eller ikke. I den nye modellen, hvis en OEM fikser problemet innen 90-dagersperioden, vil den tekniske dokumentasjonen skje 30 dager etter reparasjonen.

Google sier at den nye 90+30-policyen tar sikte på å gjøre oppdateringen til en eksplisitt del av avsløringsprogrammet. Leverandører vil ha 90 dager på seg til å utvikle oppdateringen og 30 dager på seg til å rulle ut rettelsen til brukerne sine.

"Ved å flytte til en "90+30"-modell kan vi koble fra tid til patch fra patchadopsjonstid, redusere den omstridte debatten rundt angriper/forsvarer-avveininger og deling av tekniske detaljer, samtidig som man tar til orde for å redusere tiden sluttbrukere er sårbare til kjente angrep," sa Project Zero-sjef Tim Willis i et blogginnlegg.

In-the-wild sårbarheter, som aktivt utnyttes, vil fortsatt få en 7-dagers avsløringsfrist. Men nå, hvis et problem blir rettet innen 7 dager, vil Google publisere de tekniske detaljene 30 dager etter korrigeringen. Tidligere ville Google publisere detaljene på den 7. dagen uavhengig av når problemet ble løst. Videre kan leverandører nå også be om en 3-dagers frist for sårbarheter av denne arten, som ikke ble tilbudt før.

Project Zero-teamet erkjenner at denne nye policyen er en liten tilbakegang fra deres tidligere holdning, som prioriterte rask utgivelse av tekniske detaljer til offentligheten. Teamet bemerker imidlertid at denne avslappede politikken ikke vil holde seg for lenge siden de vil prøve å forkorte avsløringsfristen i nær fremtid. Teamet antydet at for 2022 ville de sannsynligvis flytte til en 84+28-modell.