Google Project Zero menguji masa tenggang 30 hari pada detail bug untuk meningkatkan patch pengguna

gettyimages-cyber-dude-laptops.jpg

Gambar: Getty Images

Google Project Zero akan beralih dari tenggat waktu 90 hari yang cukup sulit ke model baru yang menggabungkan masa tenggang 30 hari baru untuk memberi pengguna waktu untuk memasang tambalan sebelum detail teknis terungkap.

Proyek ini mempertahankan periode pengungkapan 90 hari yang terkenal tetap utuh untuk kerentanan yang tetap belum ditambal, namun, jika tambalan muncul dalam periode pengungkapan, detail teknisnya akan muncul 30 hari setelah tambalan dirilis.

Untuk eksploitasi in-the-wild, pengungkapan akan dilakukan seminggu setelah pemberitahuan, bersama dengan detail teknis jika tidak diperbaiki. Jika tambalan dirilis dalam jendela pemberitahuan 7 hari, detail teknisnya akan muncul 30 hari kemudian. Vendor sekarang dapat meminta masa tenggang 3 hari

Dalam kasus yang jarang terjadi di mana Project Zero telah memberi vendor tenggang waktu dua minggu untuk pengungkapan, atau periode 3 hari baru untuk eksploitasi di alam liar, periode tersebut akan menggunakan bagian dari tenggang 30 hari untuk detail teknis.

Tahun lalu, Project Zero memperkenalkan kebijakan yang memberi vendor waktu 90 hari penuh sebelum mengungkapkan eksploitasi.

Pergeseran itu juga dilakukan sebagai upaya untuk meningkatkan penambalan pengguna, tetapi masih jauh dari berhasil.

“Idenya adalah jika vendor menginginkan lebih banyak waktu bagi pengguna untuk menginstal patch, mereka akan memprioritaskan pengiriman perbaikan lebih awal dalam siklus 90 hari daripada nanti,” manajer Project Zero Tim Willis menulis.

“Namun, dalam praktiknya, kami tidak mengamati perubahan signifikan dalam lini masa pengembangan patch, dan kami terus menerima umpan balik dari vendor bahwa mereka khawatir tentang merilis detail teknis tentang kerentanan dan eksploitasi sebelum sebagian besar pengguna menginstal patch. Di sisi lain, kata-kata, jadwal tersirat untuk adopsi tambalan tidak dipahami dengan jelas. ”

Willis mengatakan sistem baru 90 + 30 hari akan mulai dialihkan di masa depan, tetapi kebijakan tersebut harus dimulai dengan tenggat waktu yang dapat dipenuhi oleh vendor.

“Berdasarkan waktu patch kerentanan pelacakan data kami saat ini, kemungkinan kami dapat beralih ke model ’84 +28 ‘untuk tahun 2022 (memiliki tenggat waktu yang dapat dibagi tujuh secara signifikan mengurangi kemungkinan tenggat waktu kami jatuh pada akhir pekan),” katanya.

“Pindah ke model ’90 +30 ‘memungkinkan kami untuk memisahkan waktu untuk menambal dari waktu adopsi patch, mengurangi perdebatan kontroversial seputar trade-off penyerang / pembela HAM dan berbagi detail teknis, sambil menganjurkan untuk mengurangi jumlah waktu yang berakhir pengguna rentan terhadap serangan yang diketahui.

“Kebijakan pengungkapan adalah topik yang kompleks dengan banyak trade-off yang harus dibuat, dan ini bukanlah keputusan yang mudah untuk dibuat.”

Cakupan Terkait