Saltar al contenido
Cadalink

Google Amplía Una Fecha Límite Para Revelar Fallas De Seguridad De Otras Compañías

Google creó el proyecto cero en 2014 con una propuesta bien clara: identificar fallas de seguridad en servicios o software de terceros, notificar a los responsables y tomar una fecha límite para que se proporcione la corrección antes de que se divulgue el problema. A partir de ahora, esta fecha límite se puede ampliar en 30 días, por una buena razón: Dale tiempo a la actualización que se está implementando.

  • Google decidirá qué aplicaciones en Android 11 tendrán plena Acceso a
  • FBI “HACKEA” Microsoft Exchange servidores para eliminar la brecha

Cuando los analistas de Project Zero descubren un fallo de seguridad, notifican a la organización responsable del servicio o el software vulnerable. y dar un período de 90 días antes de que los detalles técnicos sobre el problema se liberen públicamente.

Este enfoque tiene dos objetivos: presione los responsables de una corrección que se puede poner a disposición y dar tiempo a este trabajo se puede completar Sin invadir el conocimiento de la vulnerabilidad y los planes para explorarlo. Esto se debe a que cuando caduca la fecha límite de 90 días, la falla ya debe ser corregida.

En casos extremos, Google puede proporcionar un período adicional de 14 días para la divulgación, siempre que el responsable sea responsable. La organización realiza esta solicitud.

Si la falla es del tipo de día cero, es decir, ya se está explorando, el proyecto Zero establece una fecha límite durante solo siete días para la corrección. Sin embargo, ahora se puede requerir una adición de tres días.

Esta semana, Google anunció para Project cero una política de “90 + 30 días”. Esto significa que el período de resolución del problema sigue siendo 90 días, pero la divulgación de la falla se realizará 30 días después de que se libere la corrección. Hasta entonces, la divulgación se realizó después de que caduca la fecha límite de 90 días, si la vulnerabilidad se ha corregido o no.

Para fallas en el día cero, la política se convierte en “7 + 30 días” o si es , el problema se divulgará después de 30 días si la corrección se libera dentro de los siete días.

No corrección, los plazos de 90 y siete días siguen siendo válidos.

Puede parecer una patada, después de todo, el objetivo del proyecto cero es identificar defectos para que se corrijan lo antes posible como una forma de hacer que la web sea más segura.

Sin embargo, la fecha límite adicional fue Creado para los clientes El software afectado tiene tiempo para recibir y aplicar la corrección.

Los plazos pueden cambiar, sin embargo. Google Cogita trabaja con un modelo de “84 + 28 días” en 2022.

con información: Desarrolladores XDA.