Google Project Zero wacht nu 90 dagen met onthulling kwetsbaarheid

Abonneer je gratis op Techzine!

Softwaredevelopers hoeven vanaf nu niet langer te vrezen dat hun gebruikers te kort de kans hebben om een update door te voeren die een kwetsbaarheid verhelpt. Google Project Zero hanteert vanaf nu namelijk een vast aantal dagen (negentig) alvorens het laat weten dat er een mankement is gevonden.

Voorheen gaf Project Zero developers ook al negentig dagen de tijd, maar kon het toch zo zijn dat er voor die tijd werd laten weten dat er een kwetsbaarheid was gevonden. Als een ontwikkelaar een update uitrolde die een dergelijke kwetsbaarheid oploste, verdween de deadline van negentig dagen wachten ook automatisch.

Hierdoor kon de situatie ontstaan dat gebruikers nauwelijks de tijd hadden om een programma te updaten, maar kwaadwillende partijen wel wisten dat er een kwetsbaarheid bestond die met een nieuwe update opgelost werd. Door daadwerkelijk negentig dagen te wachten vanaf het moment van aankaarten van een kwetsbaarheid, hoopt Project Zero dergelijke gevallen in de toekomst te voorkomen.

Uitzonderingen daargelaten

Wel is het mogelijk dat, als zowel de ontwikkelaar als Project Zero het erover eens zijn, eerder kan worden onthuld dat een kwetsbaarheid is gevonden. Daarnaast is het ook mogelijk voor devs om verlenging van de periode te vragen aan Google, mocht het uitrollen van een update meer tijd in beslag nemen. In plaats van negentig dagen krijgen ontwikkelaars er dan 114.

Die verlenging moet er volgens Project Zero-manager Tim Willis voor zorgen dat developers de extra tijd gebruiken om met een betere oplossing op de proppen te komen, in plaats van dat er wordt gekozen voor een gehaaste oplossing.