Google akan merilis rincian dari setiap kekurangan zero-day yang ditemukan dalam perangkat lunak, jika vendor yang terkena gagal untuk mengeluarkan patch atau mengungkapkan masalah itu sendiri dalam waktu seminggu.
Sekarang, Google adalah memperpendek waktu yang agak baik untuk hanya 7 hari. "Berdasarkan pengalaman kami ... kami percaya bahwa tindakan lebih mendesak dalam waktu 7 hari sesuai untuk kerentanan kritis akibat eksploitasi aktif", tulis Google Keamanan insinyur Chris Evans dan Drew Hintz dalam posting blog. "Alasan untuk ini penunjukan khusus adalah bahwa setiap hari kerentanan aktif dieksploitasi tetap diungkapkan kepada publik dan unpatched, lebih komputer akan dikompromikan."
Saat ini, perusahaan menggunakan salah satu pengungkapan yang bertanggung jawab atau pengungkapan penuh ketika berhadapan dengan kerentanan. Pengungkapan yang bertanggung jawab memungkinkan perusahaan waktu sebanyak yang mereka ingin menambal mengeksploitasi, dan rincian sekitarnya bug tidak terungkap ke publik sampai patch dikeluarkan. Pengungkapan penuh, di sisi lain, berarti perusahaan dan masyarakat diberi informasi mengenai cacat pada waktu yang sama.
Banyak kerentanan zero-day yang digunakan terhadap kelompok-kelompok tertentu individu dalam serangan yang ditargetkan yang sering lebih serius daripada yang lebih luas, kata para insinyur keamanan Google.
Namun, Google menyadari bahwa tujuh hari tidak cukup waktu untuk menambal semua kerentanan. Bahkan jika perusahaan tidak dapat mengatasi bug dalam tujuh hari, para peneliti masih bisa menerbitkan rincian dari cacat software setelah seminggu sehingga masyarakat dapat melindungi dirinya sendiri.
Vendor software besar seperti Microsoft, Adobe dan Oracle, yang produknya sering menjadi sasaran serangan zero-day, memiliki pengalaman dalam berurusan dengan insiden tersebut dan memiliki proses di tempat yang memungkinkan mereka untuk menanggapi secara tepat waktu sebagian besar waktu. Namun, vendor yang lebih kecil mungkin kurang siap untuk berurusan dengan kerentanan zero-day dan waspada pelanggan mereka.
Awal bulan ini, insinyur keamanan Google Tavis Ormandy terkena Microsoft cacat pada Kendali Pengungkapan. Microsoft kerentanan, yang berada di Win32k.sys driver kernel Windows, adalah fitur dalam Pengungkapan milis lengkap pada tanggal 17 Mei. Ormandy juga menghina Microsoft pada Kendali Pengungkapan, mengatakan "Sejauh yang saya tahu, kode ini adalah pra-NT (20 + tahun) lama, jadi ingatlah untuk berterima kasih kepada SDL untuk memecahkan keamanan dan mengingatkan kita bahwa kode lama tidak perlu ditinjau;-). "
Batas waktu yang sama akan berlaku bagi mereka pemburu bug yang menemukan kerentanan dalam produk Google juga, kata mereka.
Batas waktu yang sama akan berlaku bagi mereka pemburu bug yang menemukan kerentanan dalam produk Google juga, kata mereka.
0komentar:
Post a Comment