Project Zero testar en ny modell för att avslöja sårbarheter som kommer att ge OEM-tillverkare mer tid att rulla ut patchar till berörda användare.
Googles Project Zero-team tillkännager några stora förändringar i hur det avslöjar säkerhetsbrister för allmänheten. Sedan starten har Project Zero följt en strikt 90-dagars deadline för offentliggörande. Vad detta betyder är att när en sårbarhet hittas kommer Project Zero att göra det vänta 90 dagar innan du dokumenterar offentligt de tekniska detaljerna. Detta gör att leverantörer kan korrigera felet i sin programvara innan angripare kan utnyttja det.
Project Zero är nu testa en ny modell för 2021 som kommer att ge OEM-företag en extra månad på sig att lansera patchar till de berörda användarna. Tidigare hände den tekniska dokumentationen av en sårbarhet så snart 90-dagars deadline löpte ut – oavsett om en patch utfärdades eller inte. I den nya modellen, om en OEM åtgärdar problemet inom 90-dagarsperioden, kommer den tekniska dokumentationen att ske 30 dagar efter åtgärden.
Google säger att den nya 90+30-policyn syftar till att göra antagandet av patchen till en explicit del av avslöjningsprogrammet. Leverantörer kommer att ha 90 dagar på sig att utveckla patchen och 30 dagar på sig att lansera korrigeringen till sina användare.
"Genom att gå över till en "90+30"-modell kan vi koppla bort tid till patch från patchadoptionstid, minska den kontroversiella debatten kring avvägningar mellan angripare och försvarare och delning av tekniska detaljer, samtidigt som man förespråkar att minska den tid som slutanvändare är sårbara till kända attacker," sa Project Zero-chefen Tim Willis i ett blogginlägg.
In-the-wild sårbarheter, som aktivt utnyttjas, kommer fortfarande att ges en 7-dagars deadline för offentliggörande. Men nu, om ett problem åtgärdas inom 7 dagar, kommer Google att publicera de tekniska detaljerna 30 dagar efter korrigeringen. Tidigare skulle Google publicera detaljerna på den sjunde dagen oavsett när problemet åtgärdades. Dessutom kan leverantörer nu också begära en 3-dagars respitperiod för sårbarheter av denna typ, vilket inte erbjöds tidigare.
Project Zero-teamet erkänner att denna nya policy är en liten tillbakagång från deras tidigare hållning, som prioriterade att snabbt släppa tekniska detaljer till allmänheten. Teamet noterar dock att denna avslappnade policy inte kommer att finnas kvar för länge eftersom de kommer att försöka förkorta tidsfristen för avslöjande inom en snar framtid. Teamet antydde att de för 2022 troligen skulle gå över till en 84+28-modell.