Googles Project Zero-sikkerhetsteam vil nå vente i hele 90 dager før de avslører sårbarheter som de oppdager.
Project Zero er en sikkerhetsavdeling ansatt av Google, som var grunnlagt i 2014. Teamets primære oppgave er å oppdage nulldagssårbarheter - det vil si sårbarheter som er ukjente (eller ikke adressert av) parten som bør være interessert i å redusere dette. "Heartbleed" er en slik nulldagers utnyttelse, som ble privat rapportert av to separate sikkerhetsteam til OpenSSL. Et av disse sikkerhetsteamene opererte under Google og førte til slutt til opprettelsen av Project Zero. Feilen ble oppdaget i april 2014, en build av OpenSSL med feilen fikset ble utgitt noen dager senere sammen med full avsløring av feilen. Denne fullstendige avsløringen betydde at systemer som ikke ble oppdatert umiddelbart var i fare, selv om det generelt fungerer som en motivasjon for utviklerteam til å oppdatere programvaren deres.
Siden den gang har Googles Project Zero fungert på lignende måte. Når en null-dagers feil blir oppdaget, rapporterer teamet det privat til det selskapet som eier programvaren. Fra datoen for avsløringen har selskapet 90 dager på seg til å fikse feilen. Hvis de fikser det før 90-dagersvinduet er fullført, vil Google frigi detaljer om sårbarheten. Hvis de 90 dagene går uten at det er fikset, vil teamet frigjøre sårbarheten uansett, som er ment å gjøre brukere som er klar over problemene programvaren de bruker kan ha, samtidig som de potensielt kan motivere selskapet til å jobbe raskere. Det er én feil som leverandører oppfatter med dette systemet, og akkurat som med Heartbleed, er det at brukere (eller utviklere) kan kanskje ikke oppgradere systemene sine raskt nok før de blir et offer for utnyttelse. Av denne grunn har Project Zero-teamet annonsert at de prøver å vente i 90 dager i løpet av året, uansett hvor fort (eller sakte) sårbarheten er fikset.
Googles policy om å avsløre feil innen 7 dager hvis de finner bevis på at feilen blir utnyttet i naturen, påvirkes ikke. I samme blogginnlegg har Project Zero-teamet også annonsert en rekke andre små endringer. Google er også stolte av å kunngjøre at 97,7 % av alle problemer de oppdager er løst innenfor 90-dagersvinduet. Du kan lese hele blogginnlegget nedenfor.
Kilde: Google Project Zero