ゼロデイソフトウェアの脆弱性を突き止める仕事をしている検索大手に雇用されているセキュリティ専門家のチームであるGoogleProject Zeroは、脆弱性開示ガイドラインを更新しました。
更新されたポリシーにより、一部のセキュリティバグの開示に30日間のウィンドウが追加されます。これ以前は、Googleの研究者は、90日間のウィンドウの終わり、またはバグにパッチが適用された後に、脆弱性の詳細をオンラインのバグトラッカーに公開していました。
サムスンの携帯電話からコンピューターに写真をダウンロードするにはどうすればよいですか?
パッチが長くなる
追加の1か月(約)により、脆弱性の詳細がオンラインで共有される前に、ベンダーとユーザーの両方がソフトウェアに必要なパッチを開発、共有、およびインストールするのに少し時間がかかります。脆弱性の詳細がオンラインで共有されると、攻撃者によって攻撃される可能性があるため、これは朗報です。
ほとんどの場合、パッチは脆弱性の詳細が公開される時点でリリースされていますが、それでもユーザーがパッチを自分でインストールしたことに依存しています。場合によっては、これは時間のかかる作業になる可能性があります。したがって、Googleの30日延長は朗報です。
「2021年のポリシー更新の目標は、パッチ採用のタイムラインを脆弱性開示ポリシーの明示的な部分にすることです」と、Project ZeroVendorsのTimWillisは次のように述べています。 ブログ投稿 変更について説明します。 「ベンダーは、パッチ開発に90日、パッチ採用にさらに30日かかります。」
Project Zeroは、追加の30日間の猶予期間をさらに延長します。 ゼロデイ脆弱性 野生のユーザーに対して積極的に悪用されています。パッチの開示期限はわずか7日ですが、技術的な詳細は、問題が開発者によって修正されている限り、修正後30日でのみ公開されます。そうでない場合、技術的な詳細はすぐに公開されます。
ゼロデイ脆弱性にも拡張
これらの新しいルールは2021年に適用されますが、将来、状況は再び変わる可能性があります。ブログ投稿にあるように、「私たちの好みは、ほとんどのベンダーが一貫して満たすことができる開始点を選択し、パッチ開発とパッチ採用の両方のタイムラインを徐々に下げることです。」
この種の開示を正しく行うことは、ユーザーの最善の利益と、パッチを開発およびリリースするための十分な時間を開発者に与えることとのバランスを取るのは難しい仕事です。 Project Zeroチームが明確に認識しているように、これはサイバーセキュリティとパッチ対策が発展するにつれて微調整され続ける領域です。
低電力モードのiPhoneとは何ですか
ただし、今のところ、Googleのセキュリティ専門家が正しいことをしていないことを示唆するのは難しいでしょう。
画像クレジット:Mitchell Luo / スプラッシュ解除CC
共有 共有 つぶやき Eメール 火曜日のMicrosoftのパッチは、ゼロデイエクスプロイトおよびその他の重大なバグを修正しますWindowsシステムを更新して、重大な脆弱性から保護します。
次を読む 関連トピック- 安全
- テックニュース
- グーグル
- サイバーセキュリティ
ルークは1990年代半ばからアップルのファンです。テクノロジーに関する彼の主な関心は、スマートデバイスと、テクノロジーとリベラルアーツの交差点です。
LukeDormehlのその他の作品ニュースレターを購読する
ニュースレターに参加して、技術的なヒント、レビュー、無料の電子書籍、限定セールを入手してください。
購読するにはここをクリックしてください