Questo sito contiene link di affiliazione per cui può essere compensato

Home » Hi-Tech » Internet » Project Zero di Google diventa più flessibile per piacere a Microsoft

Project Zero di Google diventa più flessibile per piacere a Microsoft

Pubblicità

Google ha cambiato le policy del gruppo Project Zero e ora offre 14 giorni in più di tempo per rilasciare le patch dopo la scoperta e la segnalazione di vulnerabilità. Se richiesto, il team attenderà 14 giorni in più prima di rendere note a tutti le vulnerabilità, una decisione che dovrebbe accontentare anche Microsoft, una delle società che si era lamentata criticando la modalità di operare di Google.

Project Zero, lo ricordiamo, è un’iniziativa lanciata lo scorso anno, con l’obiettivo di individuare vulnerabilità zero-day nelle applicazioni, nei sistemi operativi e nei servizi più popolari. Dopo aver identificato un bug, il team si mette in contatto con la società coinvolta dando a questi 90 giorni di tempo per risolvere il problema. Allo scadere di questo tempo, vengono divulgati pubblicamente i dettagli della vulnerabilità e il codice dell’exploit.

Grazie al Project Zero sono state scoperte tre falle anche in OS X (risolte con gli update di sistema). Microsoft si era lamentata parlando di approccio sbagliato evidenziando che la divulgazione di dettagli prima della disponibilità di fix specifici rappresenta un grave pericolo per gli utenti. La multinazionale di Redmond ritiene la filosofia CVD (Coordinated Vulnerability Disclosure) un approccio migliore per minimizzare i rischi. Statistiche alla mano è stato ad ogni modo dimostrato che in pratica nessuna vulnerabilità segnalata privatamente è stata sfruttata da malintenzionati; al contrario, diversi attacchi sono stati compiuti quando la vulnerabilità è stata divulgata pubblicamente, prima del rilascio della patch. In pratica rendere noti i dettagli pubblicamente servirebbe a poco. Anche il tempo imposto per risolvere il problema secondo Microsoft non è ragionevole. Creare patch richiede spesso lavoro impegnativo di test e verifica e tempi variabili secondo la complessità della vulnerabilità da risolvere. Non sempre è possibile risolvere il problema nella tempistica che impone Project Zero.

Google ha ora ad ogni modo deciso di apportare alcune modifiche alla policy. In particolare se i 90 giorni coincidono con il weekend o giornate festive, la scadenza verrà posticipata al giorno lavorativo successivo; alla scadenza dei 90 giorni l’azienda coinvolta può comunicare che la patch verrà rilasciata entro i 14 giorni successivi, posticipando la pubblicazione dei dettagli fino al giorno in cui sarà disponibile la patch.

malware-1900

Offerte Apple e Tecnologia

Le offerte dell'ultimo minuto le trovi nel nostro canale Telegram

Offerte Speciali

Se siete Universitari il MacBook Air M2 su Amazon via costa solo 900€

Amazon sconta agli Universitari iscritti al programma Amazon Prime Student, il MacBook Air M2 da 256 GB: lo pagate solo 900 euro. È il minimo storico per questo modello. Ecco come fare a pagarlo così poco
Pubblicità iubenda Many GEO's

Ultimi articoli

Pubblicità