Home-theater-designers
Google Project Zero, une équipe d'experts en sécurité employée par le géant de la recherche pour traquer les vulnérabilités logicielles Zero Day, a mis à jour ses directives de divulgation des vulnérabilités.
La politique mise à jour ajoute une fenêtre supplémentaire de 30 jours à certaines divulgations de bogues de sécurité. Avant cela, les chercheurs de Google publiaient les détails des vulnérabilités sur leur outil de suivi des bogues en ligne à la fin d'une fenêtre de 90 jours ou après la correction du bogue.
comment réparer les pixels morts sur une télévision led
Plus de patch
Le mois supplémentaire (environ) donne aux fournisseurs et aux utilisateurs un peu plus de temps pour développer, partager et installer les correctifs nécessaires pour leur logiciel avant que les détails de la vulnérabilité ne soient partagés en ligne. C'est une bonne nouvelle car au moment où les détails de la vulnérabilité sont partagés en ligne, ils pourraient potentiellement être transformés en arme par des attaquants.
Bien que les correctifs aient le plus souvent été publiés au moment où les détails de la vulnérabilité sont publiés, cela dépend toujours des utilisateurs ayant installé les correctifs eux-mêmes. Dans certains cas, cela peut être une tâche fastidieuse. Les 30 jours supplémentaires de Google sont donc une bonne nouvelle.
'L'objectif de notre mise à jour de la politique 2021 est de faire du calendrier d'adoption des correctifs une partie explicite de notre politique de divulgation des vulnérabilités', a déclaré Tim Willis de Project Zero Vendors dans un article de blog décrivant le changement. « Les fournisseurs auront désormais 90 jours pour le développement des correctifs et 30 jours supplémentaires pour l'adoption des correctifs. »
Project Zero étend en outre la période de grâce supplémentaire de 30 jours à vulnérabilités zéro jour qui sont activement exploités contre les utilisateurs dans la nature. Alors que le délai de divulgation n'est que de sept jours pour le correctif, les détails techniques ne seront publiés que 30 jours après le correctif --- tant que le problème est résolu par les développeurs. Dans le cas contraire, les détails techniques seront publiés immédiatement.
Extension aux vulnérabilités Zero Day également
Ces nouvelles règles s'appliqueront pour 2021, même si les choses pourraient encore changer à l'avenir. Comme le note le billet de blog : « Notre préférence est de choisir un point de départ qui peut être systématiquement respecté par la plupart des fournisseurs, puis de réduire progressivement les délais de développement et d'adoption des correctifs. »
Obtenir ce type de divulgation est un travail difficile, équilibrant les meilleurs intérêts des utilisateurs et donnant aux développeurs suffisamment de temps pour développer et publier un correctif. Comme l'équipe Project Zero le sait clairement, c'est un domaine qui continuera d'être peaufiné à mesure que les mesures de cybersécurité et de correctifs se développeront.
comment allumer apple tv sans télécommande
Pour l'instant, cependant, vous auriez du mal à suggérer que les experts en sécurité de Google ne font pas la bonne chose.
Crédit d'image: Mitchell Luo/ Unsplash CC
Partager Partager Tweeter E-mail Le Patch Tuesday de Microsoft corrige l'exploit Zero-Day et d'autres bogues critiquesMettez à jour vos systèmes Windows pour vous protéger contre les vulnérabilités critiques.
Lire la suite Rubriques connexes- Sécurité
- Nouvelles techniques
- La cyber-sécurité
Luke est un fan d'Apple depuis le milieu des années 90. Ses principaux intérêts en matière de technologie sont les appareils intelligents et l'intersection entre la technologie et les arts libéraux.
Plus de Luke DormehlAbonnez-vous à notre newsletter
Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !
Cliquez ici pour vous abonner