El Proyecto Cero de Google da a las empresas de tecnología más tiempo para corregir vulnerabilidades

Google Project Zero, un equipo de expertos en seguridad empleados por el gigante de las búsquedas con el trabajo de buscar vulnerabilidades de software de día cero, ha actualizado sus pautas de divulgación de vulnerabilidades.

La política actualizada agrega una ventana adicional de 30 días a algunas divulgaciones de errores de seguridad. Antes de esto, los investigadores de Google publicaban detalles de las vulnerabilidades en su rastreador de errores en línea al final de una ventana de 90 días, o después de que se corrigiera el error.

Más tiempo para parchear

El mes adicional (aproximadamente) les da a los proveedores y usuarios un poco más de tiempo para desarrollar, compartir e instalar los parches necesarios para su software antes de que los detalles de la vulnerabilidad se compartan en línea. Esta es una buena noticia ya que en el momento en que los detalles de la vulnerabilidad se comparten en línea, los atacantes podrían potencialmente convertirlos en armas.

Aunque los parches se publican con mayor frecuencia en el momento en que se publican los detalles de la vulnerabilidad, eso aún depende de que los usuarios los hayan instalado. En algunos casos, esta puede ser una tarea que requiere mucho tiempo. Por lo tanto, los 30 días adicionales de Google son una buena noticia.

"El objetivo de nuestra actualización de la política de 2021 es hacer que el cronograma de adopción de parches sea una parte explícita de nuestra política de divulgación de vulnerabilidades", dijo Tim Willis de Project Zero Vendors en una publicación de blog que describe el cambio. "Los proveedores ahora tendrán 90 días para el desarrollo de parches y 30 días adicionales para la adopción de parches".

Project Zero también está extendiendo el período de gracia adicional de 30 días a las vulnerabilidades de día cero que se están explotando activamente contra los usuarios en la naturaleza. Si bien el plazo de divulgación es de solo siete días para la revisión, los detalles técnicos solo se publicarán 30 días después de la corrección, siempre que los desarrolladores solucionen el problema. De lo contrario, los detalles técnicos se publicarán de inmediato.

Vulnerabilidades extendidas a día cero, también

Estas nuevas reglas se aplicarán para 2021, aunque las cosas podrían cambiar nuevamente en el futuro. Como se señala en la publicación del blog: "Nuestra preferencia es elegir un punto de partida que la mayoría de los proveedores puedan cumplir de manera consistente, y luego reducir gradualmente los plazos de desarrollo y adopción de parches".

Hacer correctamente este tipo de divulgaciones es un trabajo difícil, equilibrar los mejores intereses de los usuarios con dar a los desarrolladores el tiempo suficiente para desarrollar y lanzar un parche. Como el equipo de Project Zero sabe claramente, es un área que continuará modificándose a medida que se desarrollen las medidas de ciberseguridad y parches.

Sin embargo, por ahora, sería difícil sugerir que los expertos en seguridad de Google no están haciendo lo correcto.

Crédito de la imagen: Mitchell Luo / Unsplash CC