21 abr 2021

Google Project Zero aumentará el margen temporal antes de la divulgación pública de vulnerabilidades

Google Project Zero es el equipo de analistas de ciberseguridad más importante con los que cuenta el gigante de Internet. Un grupo de élite que se puso en marcha en 2014 con el objetivo de localizar ataques 0-Day y en general las vulnerabilidades de software más críticas y peligrosas.

Project Zero revisa el software de Google y también el de terceros. Los errores detectados son reportados internamente a los distintos proveedores para que realicen las correcciones correspondientes y se hacen públicos posteriormente para que el usuario tome sus propias medidas bajo una política de divulgación que da un plazo general de 90 días desde que se comunica internamente.

Google hace pública las vulnerabilidades pasado el plazo tanto si el proveedor ha parcheado el software como si no lo ha hecho. Esta política de divulgación ha sido altamente controvertida en el pasado y algunos como Microsoft han tenido fuertes ‘enganchones’ con Google.

Chris Betz, responsable del Centro de respuesta de seguridad de Microsoft, criticó que un competidor publicase vulnerabilidades sin que el proveedor de software la hubiera parcheado bajo el siguiente argumento: "Quienes están a favor de la divulgación pública creen que este método empuja a los proveedores de software para corregir las vulnerabilidades más rápidamente y hace que los clientes desarrollen y adopten medidas para protegerse. No estamos de acuerdo. Es una presión indebida en un entorno técnico complicado que necesita evaluar plenamente el potencial de la vulnerabilidad y diseñar un parche en un entorno de amenazas más amplio".

El argumento es compartido por otros proveedores, pero hay otros muchos que apoyan a Google en esta política. El usuario tiene derecho a saber si el software que usa contiene vulnerabilidades para tomar sus propias medidas, por ejemplo, dejar de utilizarlo. Por otra parte, si no hubiera un plazo concreto de divulgación pública algunos desarrolladores no le dedicarían la atención suficiente. Hay vulnerabilidades que lamentablemente han tardado años en parchearse.

El equipo de seguridad de Google ha anunciado la ampliación en 30 días del plazo para la divulgación de vulnerabilidades al público. Ello significa que los desarrolladores tendrán 90 días para corregir errores regulares (con un período de gracia de 14 días si se solicita), y otros 30 días adicionales antes de revelar los detalles públicamente.

Para las vulnerabilidades más críticas, las de Día-Cero que se haya comprobado que estén explotándose activamente, los proveedores tendrán siete días para parchearlas, con un período de gracia de tres días bajo demanda. Sin embargo, Google esperará ahora 30 días más antes de revelar los detalles técnicos.

El año pasado, Google permitió a los desarrolladores más tiempo para corregir errores, con la esperanza de que los arreglaran lo suficientemente rápido como para permitir a los usuarios finales más tiempo para parchear.


En la práctica, sin embargo, no observamos un cambio significativo en los plazos de desarrollo de parches, y continuamos recibiendo comentarios de los proveedores de que estaban preocupados por la publicación de los detalles técnicos sobre vulnerabilidades y exploits antes de que la mayoría de los usuarios hubieran instalado el parche"
, describen desde el Project Zero.

Buscando el equilibrio. La idea es marcar un punto que pueda ser cumplido consistentemente por la mayoría de los proveedores, para después «reducir gradualmente tanto los plazos de desarrollo de parches como los plazos de adopción de los mismos», explican para argumentar el aumento del plazo.

Fuente: Muy Seguridad

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!