Компания Google представила правила раскрытия информации о новых уязвимостях, анализируемых сотрудниками службы безопасности Google. На исправление активно эксплуатируемых "zero-day" уязвимостей производителям теперь выделяется 7 дней, после чего вся доступная информация будет опубликована в открытом доступе. Изменения касаются только "zero-day" проблем, которые уже используются для совершения атак, но исправления для которых ещё недоступны.
Для многих производителей семь дней слишком короткий срок для подготовки и распространения обновления. Например, устранение критических проблем безопасности, не подпадающих под категорию "zero-day", рекомендовано произвести в течение 60 дней. Тем не менее в случае уже эксплуатируемых "zero-day" проблем подобные рамки недопустимы и если производитель не в состоянии оперативно выпустить обновление, необходимо дать пользователям возможность самостоятельно предпринять меры по защите своих систем, отключить сервис или ограничить доступ к нему. Кроме того, даже не успевающий выпустить обновление производитель может дать рекомендации по обходным путям защиты или предоставить временное решение проблемы.
|