Sábado, Abril 20, 2019

Google Project Zero añade un periodo de gracia a su política de divulgación de vulnerabilidades

google_zero.png

Project Zero es el grupo de especialistas de seguridad que el gigante de Internet estrenó el pasado verano con el objetivo de encontrar vulnerabilidades en todo tipo de software.

Project Zero ha estado en el centro de la polémica en los últimos meses tras la publicación de una vulnerabilidad O-Day en Windows. Google informó a Microsoft de esta vulnerabilidad el 30 de septiembre y bajo las políticas de divulgación de Project Zero comunicó al gigante del software que la haría pública en 90 díasMicrosoft no lo parcheó y Google la publicó detallando su posible explotación.

La medida fue apluadida por los que entienden que únicamente una fecha limitada obligará a los productores de software para sacar el parche correspondiente que de otra forma se demorarían meses u años. Otro grupo criticó la divulgación por lo que supone de riesgo para los usuarios. Microsoft no cree correcto que investigadores de seguridad encuentren vulnerabilidades en productos de un competidor, apliquen presión sobre la necesidad de una revisión de seguridad o parche dentro de un determinado período de tiempo, y revelen públicamente la información acerca de la vulnerabilidad, permitiendo a los clientes ser atacados antes de haber creado una solución.

Posteriormente, Google publicó una segunda vulnerabilidad en Windows sin parchear y otras correspondientes a Mac OS X.

Ahora, Project Zero relaja su política de divulgación de vulnerabilidades aumentando en 14 días si los productores de software informan a Google de la publicación del parche en el periodo. Además, se reserva una posible ampliación del plazo dependiendo del tipo de vulnerabilidad “en el deseo de mejorar los tiempos de respuesta de la industria a los errores de seguridad”.

Google no es la única gran compañía de tecnología con plazos de divulgación. La iniciativa Zero Day de HP tiene un periodo de 120 días, mientras que el Instituto de Ingeniería de Software de la Universidad Carnegie Mellon, tiene un plazo de 45 días.

La política de plazos pretende asegurar que los proveedores no mantienen vulnerabilidades sin parchear durante meses o años en algunos casos.

 

Fuente: muyseguridad

Compártelo. ¡Gracias!

 

Grupo Digital de Ayuda! Tu portal de informacion e ayuda.

¿Quién está en línea?

Hay 221 invitados y ningún miembro en línea

Contador de Visitas

12376569
Hoy Hoy 276
Ayer Ayer 554
Esta semana Esta semana 3492
Este mes Este mes 12576
Total de Visitas Total de Visitas 12376569

Día con más
visitantes

11-23-2018 : 1410

Gracias por su visita