Ивановский Торрент трекер
Яндекс.Погода
 

[Цитировать]
HUNTER


Около месяца назад в сфере информационной безопасности произошёл инцидент, неприятный для нескольких технологических компаний. Корпорация Google раскрыла подробности уязвимости, существовавшей в большинстве поддерживаемых версий Windows. В Microsoft раскритиковали это решение, заявив, что поисковый гигант не предоставил достаточно времени на исправление бреши, и пытается «подловить» своего конкурента на ошибке.
Запущенный Google проект Project Zero имеет чёткие правила о том, когда информация о заявленной уязвимости становится публично доступной. Если производитель ПО не успевает исправить её в течение 90 дней, компания сообщает о бреши. Это делается для того, чтобы IT-отделы и обычные пользователи, которые могут быть подвержены риску, приняли меры по уменьшению угрозы.
В прошлом месяце Microsoft не хватило всего несколько дней, чтобы выпустить исправление в рамках Patch Tuesday, и злоумышленники могли воспользоваться этим временем для эксплуатации бреши. Чтобы предотвратить повторение подобной ситуации, Google решила внести поправки в свои правила.
Если разработчик ПО сообщит о том, что не успевает выпустить исправление в отпущенный 90-дневный срок, ему дают ещё 14 дней на подготовку и выпуск патча. «Если 90-дневный срок подходит к концу, но поставщик сообщит нам, что выход исправления запланирован на определённую дату в рамках 14-дневного периода, информация будет публично раскрыта в этот день», — говорится в уведомлении Project Zero.
Помимо этого, Google не будет раскрывать данные об уязвимостях по выходным и в праздничные дни.
В Microsoft посчитали нововведения в правилах Project Zero благоприятными, но без доли критики не обошлось. «При том, что мы приветствуем правки в процессе раскрытия, мы не согласны с устанавливаемым крайним сроком, так как каждое обновление безопасности уникально, и время разработки, а также тестирования может различаться», — заявил Крис Бетз (Chris Betz), старший руководитель Microsoft Security Response Center в своём заявлении.
Для сравнения, если Project Zero раскрывает уязвимости всего через 90 дней, то аналогичный проект Zero Day Initiative (ZDI) даёт разработчикам 120 дней. Организация Computer emergency response teams CERT при американском научно-исследовательском заведении Software Engineering Institute (SEI), которая также собирает уведомления об уязвимостях, предоставляет намного меньше времени — всего 45 дней, при этом она может изменить данный срок, если посчитает это целесообразным.
Показать сообщения:    

Текущее время: 24-Сен 16:29

Часовой пояс: UTC - 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

!ВНИМАНИЕ!
Сайт не предоставляет электронные версии произведений, а занимается лишь коллекционированием и каталогизацией ссылок, присылаемых и публикуемых на форуме нашими читателями. Если вы являетесь правообладателем какого-либо представленного материала и не желаете, чтобы ссылка на него находилась в нашем каталоге, свяжитесь с нами, и мы незамедлительно удалим ее. Файлы для обмена на трекере предоставлены пользователями сайта, и администрация не несет ответственности за их содержание. Просьба не заливать файлы, защищенные авторскими правами, а также файлы нелегального содержания!