Google Project Zero heeft een periode van 30 dagen toegevoegd aan de 90 dagen waarin het de details zero-days wereldkundig maakt. Het initiatief geeft bedrijven nog steeds 90 dagen de tijd om patches uit te brengen, maar gebruikers krijgen daarna nog 30 dagen om die te installeren.
In een blogpost vertelt Project Zero dat het initiatief zijn Disclosure Policy aanpast om de tijd die nodig is om kwetsbaarheden te dichten, terug te brengen. Ook wil het initiatief bedrijven de kans geven om betere patches te ontwikkelen en gebruikers meer kans geven om de patch te installeren.
In het oude beleid gaf Project Zero bedrijven 90 dagen de tijd om een patch te installeren en uit te brengen. Ook als de patch eerder of later dan die 90 dagen gereed was, werden de technische details van een gevonden zero-day na 90 dagen gedeeld. Eventueel kon dit met 14 dagen worden uitgerekt als de patch binnen maximaal 104 dagen klaar kon zijn. Dit leidde er echter toe dat patches vaak op het laatste moment uitkwamen en gebruikers weinig tijd hadden om ze daadwerkelijk te installeren.
90 + 30 dagen
Om deze situatie te voorkomen heeft Google besloten om het bekendmaken van details over een zero-day uit te stellen tot 30 dagen nadat een patch is uitgebracht. Bedrijven krijgen nog steeds 90 dagen om een patch te ontwikkelen, maar als de patch dan nog niet beschikbaar is, worden technische details over de zero-day onmiddellijk wereldkundig gemaakt. Komt een bedrijf op dag 90 met een patch uit, dan worden de technische details dus 120 dagen na het aanvankelijke ontdekken gepubliceerd. Ook in het nieuwe beleid kan er twee weken uitstel gevraagd worden. In dat geval hebben ontwikkelaars tot na 104 dagen de tijd om met een patch te komen, maar wordt het publiceerdatum niet tot later dan 120 dagen vooruit geschoven.
Bij kwetsbaarheden die al actief misbruikt worden, hanteert Google een veel kortere patchtijd van 7 dagen. Deze patchtijd blijft bestaan, maar ook hier worden nu 30 dagen aan toegevoegd om gebruikers de kans te geven om de patch te installeren. Ook is er een uitstelperiode van drie dagen beschikbaar gemaakt.
Oude systeem bleek niet te werken
Project Zero vertelt dat het initiatief aanvankelijk hoopte dat ontwikkelaars door de periode van 90 dagen zich gedwongen voelden om snel met een patch te komen, zodat gebruikers ruim de tijd krijgen om die te installeren. In de praktijk bleek dit beleid echter niet tot een significante verschuiving in de ontwikkeltijd van een patch te leiden. Daarom heeft Project Zero het nieuwe beleid bedacht, in de hoop dat het onder de streep tot betere bescherming tegen zero-days leidt.
Periode in de toekomst ingekort
Het initiatief is van het in de toekomst deze periode te verkorten. Het huidige idee is om de periode in 2022 terug te brengen naar 84 + 28 dagen. Omdat dit getal door 7 gedeeld kan worden, is er veel minder kans dat de deadlines in weekenden vallen.
Tip: Google Project Zero ontdekt acute Windows zero day-kwetsbaarheid
7 uur geleden
