Project Zero ha estado en el centro de la polémica en los últimos meses tras la publicación de una vulnerabilidad O-Day en Windows. Google informó a Microsoft de esta vulnerabilidad el 30 de septiembre y bajo las políticas de divulgación de Project Zero comunicó al gigante del software que la haría pública en 90 díasMicrosoft no lo parcheó y Google la publicó detallando su posible explotación.

La medida fue apluadida por los que entienden que únicamente una fecha limitada obligará a los productores de software para sacar el parche correspondiente que de otra forma se demorarían meses u años. Otro grupo criticó la divulgación por lo que supone de riesgo para los usuarios. Microsoft no cree correcto que investigadores de seguridad encuentren vulnerabilidades en productos de un competidor, apliquen presión sobre la necesidad de una revisión de seguridad o parche dentro de un determinado período de tiempo, y revelen públicamente la información acerca de la vulnerabilidad, permitiendo a los clientes ser atacados antes de haber creado una solución.

Posteriormente, Google publicó una segunda vulnerabilidad en Windows sin parchear y otras correspondientes a Mac OS X.

Ahora, Project Zero relaja su política de divulgación de vulnerabilidades aumentando en 14 días si los productores de software informan a Google de la publicación del parche en el periodo. Además, se reserva una posible ampliación del plazo dependiendo del tipo de vulnerabilidad “en el deseo de mejorar los tiempos de respuesta de la industria a los errores de seguridad”.

Google no es la única gran compañía de tecnología con plazos de divulgación. La iniciativa Zero Day de HP tiene un periodo de 120 días, mientras que el Instituto de Ingeniería de Software de la Universidad Carnegie Mellon, tiene un plazo de 45 días.

La política de plazos pretende asegurar que los proveedores no mantienen vulnerabilidades sin parchear durante meses o años en algunos casos.

 

Fuente: muyseguridad