Google traži od proizvođača softvera da na 0-day ranjivosti reaguju u roku od 7 dana
Vesti, 31.05.2013, 07:41 AM
Google je bacio rukavicu u lice proizvođačima softvera tražeći da njih da ponude zakrpe ili savete za kritične, ranije nepoznate ranjivosti u svojim programima u roku od sedam dana pošto im ranjivost bude prijavljena.
“Po isteku sedam dana u slučaju da nema zakrpe ili saveta, podržaćemo istraživače da objave detalje (o ranjivostima) tako da korisnici mogu preduzeti korake u cilju svoje zaštite”, kažu iz Google-a.
Pre tri godine, Google-ovi inženjeri su predložili rok od 60 dana kao razuman rok u okviru koga bi proizvođači softvera trebalo da objave zakrpu ili savet.
U slučajevima kada se ranjivosti aktivno koriste u hakerskim napadima potrebna je hitna akcija, a na osnovu iskustva rok od 7 dana je adekvatan za takve ranjivosti, smatraju u Google-u. Svaki dan aktivnog korišćenja ranjivosti koja je nepoznata javnosti i nezakrpljena ima za posledicu više kompromitovanih računara.
Google ima veliki tim istraživača koji godinama unazad otkrivaju takozvane 0-day ranjivosti u programima drugih proizvođača, koje hakeri koriste u napadima. Oni uvek i odmah prijavljuju takve slučajeve proizvođačima softvera i zajedno sa njima rade na pronalaženju rešenja.
Sedam dana izgleda kao prekratak rok za proizvođače softvera da ažuriraju svoje proizvode, ali je dovoljan da objave savet o mogućim načinima za izbegavanje napada i smanjenje posledica napada, kao što je deaktiviranje servisa, ograničenje pristupa ili kontaktiranje proizvođača za više detalja.
Mnoge 0-day ranjivosti koriste se za napade na određene grupe ili pojedince u ciljanim napadima koji su često ozbiljniji nego napadi na širu populaciju. Politički aktivnosti iz određenih delova sveta su česta meta napada a kompromitovanje njihovih računara može imati ozbiljne posledice po njihovu bezbednost.
Sada ostaje da se vidi da li će preporuke iz Google-a slediti drugi istraživači kao i da li će to uopšte imati uticaja na proizvođače softvera. Veliki proizvođači kao što su Microsoft, Adobe i Oracle čiji su softverski proizvodi česta meta 0-day napada, imaju mnogo iskustva sa incidentima te vrste i razvijene procedure koje im omogućavaju da u većini slučajeva reaguju relativno brzo. Međutim, manje kompanije su daleko manje spremne za 0-day ranjivosti i upozoravanje svojih korisnika.
Izdvojeno
Ove nedelje stupio na snagu prvi zakon koji zabranjuje slabe lozinke na pametnim uređajima
Nacionalni centar za sajber bezbednost Velike Britanije (NCSC) pozvao je proizvođače pametnih uređaja da se pridržavaju novog zakona koji im zabra... Dalje
Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke
Istraživanje o lozinkama koje je sprovela kompanija Bitwarden pokazalo je da se većina ljudi i dalje oslanja na pamćenje i olovku i papir kada je r... Dalje
Posle SAD, Avast kažnjen i u EU zbog kršenja zakona o zaštiti podataka korisnika
Kancelarija za zaštitu ličnih podataka u Češkoj (UOOU) izrekla je kaznu od 15,8 miliona evra kompaniji Avast zbog kršenja Opšte uredbe za zašti... Dalje
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Pratite nas
Nagrade