Google Project Zero Security Team今天已更新其漏洞披露指南,为每个安全错误披露添加30天的垫子,因此最终用户有足够的时间修补软件并防止攻击者武器化错误。
今天的变化特别重要,因为一大部分网络安全社区已通过项目零的规则作为非官方方法,以披露软件供应商,然后向公众披露安全错误。
在今天之前,Google Project Zero的研究人员将为软件供应商提供90天来修复安全错误。当BUG被修补,或者在90天窗口结束时,Google研究人员将在Online(在他们的错误跟踪器上)发布有关该错误的详细信息。
从今天开始,Project Zero表示它将在发布关于错误的任何详细信息之前等待30天。
额外时间窗口背后的推理是允许受影响的产品的用户更新他们的软件,这是一个通常需要几天或几周内的操作的操作。
我们的2021年政策更新的目标是使补丁采用时间表成为我们漏洞披露政策的明确部分。供应商现在将有90天的补丁开发,以及补丁采用的30天。
Tim Willis,Project Zero
Project Zero Team Lead Tom Willis表示,公司在过去抱怨缺乏垫子,供用户应用补丁。
Project Zero研究人员发布的过去的错误详细信息通常包括对漏洞有效的深入技术解释,并且通常也包括概念证明代码。虽然Demo Exploit代码是nerfed,它通常还提供一个基本的线框,用于构建更高级的漏洞。
具有讽刺意味的是,虽然项目零没有为其他公司提供时间靠垫,但Chrome团队正在使用一个,并且永远不会为此发布有关其安全修复的详细信息,而是相同的原因 - 以防止攻击者武器化固定的Chrome错误和攻击用户更新他们的浏览器。
此外,威利斯表示,为期30天的坐垫也将适用于零天漏洞,而不仅仅是常规错误。此前,项目零将使公司提供七个日历日,以修补任何积极开发的漏洞(零日),然后才能在线发布关于错误的详细信息。
初期开始2021年,威利斯表示,项目零研究人员将适用相同的30天坐垫零天,甚至愿意再增加七天到原来的七天披露截止日期,让公司更多的时间来创造一个补丁,在一些罕见的情况。
下一年的披露规则更新包括将披露窗口从90 + 30天修改到84 + 28,时间段可分解七个,因此披露截止日期不会在周末意外落下 - 当它的工作人员通常不准备时将紧急安全修补程序部署到内部网络。
威利斯说,今天的变化最有可能愤怒网络安全团队和网络捍卫者,他们依赖于项目零虫细节,以创造可能的开发尝试的检测规则。威利斯建议安全公司和其他维尔德斯向受影响的供应商联系,为“可行的技术细节”。