Google намерена публично сообщать о новых неисправленных уязвимостях

Google через подконтрольную структуру Project Zero будет сообщать об обнаруженных уязвимостях в продуктах компаний в течение недели. Впрочем, конкретика будет выкладываться через 90 дней.

Google, считает xrust, внесла это спорное изменение в оповещение клиентов о программных уязвимостях, чтобы ускорить выпуск исправлений. За исполнение обещания будет отвечать Project Zero, подконтрольная бренду. Оный занимается выявлением ранее неизвестных программных ошибок, также известных как уязвимости нулевого дня.

Ранее группа предоставляла поставщику программного обеспечения 90 дней на исправление уязвимости, прежде чем публиковать информацию об уязвимости. Если поставщик выпускает исправление, информация о нём публикуется через 30 дней, чтобы пользователи успели его установить.

Project Zero в настоящее время пересматривает политику раскрытия уязвимостей, ссылаясь на необходимость оказывать давление на поставщиков программного обеспечения, чтобы они активнее внедряли исправления. 90-дневный срок раскрытия информации остаётся в силе. Но, начиная с сегодняшнего дня, команда будет сообщать об обнаруженных уязвимостях (публично указывая название поставщика и название продукта) в течение одной недели после сообщения о проблеме разработчику ПО.

Новая политика в настоящее время действует в экспериментальном режиме, в результате чего Project Zero сообщил об обнаружении двух новых уязвимостей в Microsoft Windows, а также трех недостатков в продукте Google «BigWave», возможно, связанных с видеокодеком.