Proponha uma correção, faça uma sugestão
Project Zero da Google vai dar mais 14 dias para anunciar bugs
Quando a Google criou o Project Zero pretendia ter uma forma de criar uma comunidade e uma forma de investigar problemas de segurança nos mais variados elementos da Internet.
A sua utilidade é mais que clara, mas os problemas surgiram quando a Google, de forma indiferenciada, resolveu seguir as suas regras e anunciou ao mundo vulnerabilidades antes de estas estarem resolvidas.
Para evitar situações destas e para dar mais tempo aos programadores para resolverem os bugs de segurança, os prazos de anuncio foram alargados, em situações particulares.
As mudanças que a Google agora implementou no Project Zero pretendem dar alguma margem adicional aos programadores para resolverem as situações de problemas que forem encontradas e que estão a ser resolvidas.
Este problema surgiu recentemente com o lançamento a público de algumas vulnerabilidades associadas a sistemas operativos que estavam a ser corrigidas.
O lançar para a Internet destas falhas permite que qualquer atacante mal intencionado possa estudá-las e usá-las de forma não legal, quer para atacar computadores ou simplesmente para roubar dados dos utilizadores.
A Google e os elementos do Project Zero apenas se limitaram a seguir as regras que estabeleceram e que dão noventa dias para que os problemas sejam resolvidos, depois destes terem sido reportados às entidades que gerem os serviços ou os softwares.
Os recentes casos, que envolveram a Apple e a Microsoft, mostraram que as empresas nem sempre conseguem tratar dos problemas no prazo dado e por isso a Google tem agora algumas mudanças nos timmings que definiu.
As novas regras definidas dão agora 14 dias adicionas a todos os programadores que informem a Google que estão a trabalhar no problema reportado e que não vão conseguir lançar a sua correcção no prazo de 90 dias dado pela Google.
Esta extensão de tempo teria sido suficiente para que a Microsoft não tivesse o seu problema do Windows 8.1 exposto e possível de ser explorado. A solução acabou por sair apenas dois dias depois.
Os prazos da Google são o que a empresa entende serem os aceitáveis para estes tipos de situações, sendo suficientes para que os programadores e as empresas responsáveis corrijam as falhas.
Outras entidades conseguem dar outros tempos aos programadores, mas sempre em tempos aproximados a estes. Existem casos em que são dados 120 dias e outros em que estes se limitam a 45.
Estas alterações da Google, que se vão aplicar em situações pontuais e bem identificadas, garantem agora que os problemas não são expostos dias antes de serem anunciadas as soluções que os corrigem e que eliminam os problema de segurança.
Este artigo tem mais de um ano
Loading ...
Permitam-me só fazer uma pergunta: mas qual é o interesse que existe em colocar essa informação a público? Que sejam avisadas as empresas que detêm o software, isso eu entendo para que possam proceder às respectivas correcções, agora ao público? Parece-me que os utilizadores pouco ou nada possam fazer, a não ser esperar por uma actualização de segurança para corrigir o problema, e haverá por aí bastantes pessoas que poderão, como é indicado, utilizar essa informação para seu benefício próprio… Este é um daqueles conceitos que tenho dificuldade em entender!
O problema é que em termos praticos e não teoricos se não existe o pressão os problemas resolvem-se ao arrastão e o que pode ser resolvido em 90 dias é resolvido em 360 dias (se).
Não esquecendo que hackers experientes à priori já sabem destas vulnerabilidades e são eles que causam os problemas maiores.
Sendo assim compensa mais que haja a pressão de tornar publico para que o estrago seja menor.
Não, é para as empresas não ficarem a dormir a sombra da bananeira…
Era lindo, fazer um software, cheiro de bug’s ERROs, se o utilizador comum não se aperceber, está óptimo.
Empresas como a Apple, MS, etc, ligam muito a sua imagem, e para não estragarem a sua imagem, tem de corrigir os erros no prazo de 90dias, neste caso +14dias.
Acho muito bem, ate acho que + empresas deviam investir nisso. Ou acham que é só pessoas “bem intencionas” que exploram as mesmas falhas????
O melhor que podia acontecer ao android era voltar ao zero, substituirem a linguagem programacao que é claramente errática pois esta mal optimizada, a imagem do windows
não me digas es daqueles miúdos que faz birra no natal para a família oferecer um Iphone. que nem faz ideia o que é um telemóvel android. (ou então teve o android de 80€ e quer comparar a um de 700€)
E que tal ires mudar a fralda???
O que eu acho piada é que a empresa por detrás disto seja a mesma empresa que se recusa a resolver conhecidas falhas de segurança que afectam as versões mais usadas do seus SO móvel (<=4.3). Cómico.
Tambem não ves a Microsoft a actualizar bugs do win xp…
A resolução passa por actualires o teu android, o telemovel não é compativel? passa então por comprares um telemovel novo.
Temos de seguir a evolução!
“mostraram que as empresas nem sempre conseguem tratar dos problemas no prazo dado”, engraçado que as distribuições GNU/Linux conseguem resolver o problema bem rápido como foi o caso do shellshock, na minha opinião as empresas estão de frescuragem… 90 é o suficiente para empresas de grande porte como a microsoft com os seus programadores resolverem.
Que viagem! A Merd@ da Google cria um setor em sua empresa para os caras ficarem o dia inteiro procurando bugs nos concorrentes e quando acham ainda ficam tirando onda com prazos para resolverem porque senão vão entregar para o mundo suas falhas!
Isso aqui no Brasil se chama:
“Dedu Duro”!
“Caguete”!
“X9”!
“Mau Caracter”!