Google traži od proizvođača softvera da na 0-day ranjivosti reaguju u roku od 7 dana

Vesti, 31.05.2013, 07:41 AM

Google je bacio rukavicu u lice proizvođačima softvera tražeći da njih da ponude zakrpe ili savete za kritične, ranije nepoznate ranjivosti u svojim programima u roku od sedam dana pošto im ranjivost bude prijavljena.

“Po isteku sedam dana u slučaju da nema zakrpe ili saveta, podržaćemo istraživače da objave detalje (o ranjivostima) tako da korisnici mogu preduzeti korake u cilju svoje zaštite”, kažu iz Google-a.

Pre tri godine, Google-ovi inženjeri su predložili rok od 60 dana kao razuman rok u okviru koga bi proizvođači softvera trebalo da objave zakrpu ili savet.

U slučajevima kada se ranjivosti aktivno koriste u hakerskim napadima potrebna je hitna akcija, a na osnovu iskustva rok od 7 dana je adekvatan za takve ranjivosti, smatraju u Google-u. Svaki dan aktivnog korišćenja ranjivosti koja je nepoznata javnosti i nezakrpljena ima za posledicu više kompromitovanih računara.

Google ima veliki tim istraživača koji godinama unazad otkrivaju takozvane 0-day ranjivosti u programima drugih proizvođača, koje hakeri koriste u napadima. Oni uvek i odmah prijavljuju takve slučajeve proizvođačima softvera i zajedno sa njima rade na pronalaženju rešenja.

Sedam dana izgleda kao prekratak rok za proizvođače softvera da ažuriraju svoje proizvode, ali je dovoljan da objave savet o mogućim načinima za izbegavanje napada i smanjenje posledica napada, kao što je deaktiviranje servisa, ograničenje pristupa ili kontaktiranje proizvođača za više detalja.

Mnoge 0-day ranjivosti koriste se za napade na određene grupe ili pojedince u ciljanim napadima koji su često ozbiljniji nego napadi na širu populaciju. Politički aktivnosti iz određenih delova sveta su česta meta napada a kompromitovanje njihovih računara može imati ozbiljne posledice po njihovu bezbednost.

Sada ostaje da se vidi da li će preporuke iz Google-a slediti drugi istraživači kao i da li će to uopšte imati uticaja na proizvođače softvera. Veliki proizvođači kao što su Microsoft, Adobe i Oracle čiji su softverski proizvodi česta meta 0-day napada, imaju mnogo iskustva sa incidentima te vrste i razvijene procedure koje im omogućavaju da u većini slučajeva reaguju relativno brzo. Međutim, manje kompanije su daleko manje spremne za 0-day ranjivosti i upozoravanje svojih korisnika.