Gigant z Redmond poinformował o zmianie podejścia do upubliczniania informacji o lukach w oprogramowaniu. Dotychczas Microsoft promował tzw. odpowiedzialne ujawnianie (Responsible Disclosure), które miało polegać na powiadomieniu producenta o znalezionym błędzie i zaczekaniu, aż ten przygotuje poprawkę, co w wielu przypadkach mocno się przeciągało. Jak będzie teraz?
Nowa strategia nosi nazwę Coordinated Vulnerability Disclosure (CVD), jej charakterystykę podali w ubiegłym tygodniu na firmowych blogach Matt Thomlinson i Katie Moussouris. Tak jak wcześniej, Microsoft stawia na współpracę odkrywcy luki z producentem wadliwego oprogramowania. Znalezione podatności będzie można zgłaszać bezpośrednio albo za pośrednictwem zaufanej organizacji, takiej jak np. CERT-CC.
Strony będą mogły ustalić termin ujawnienia szczegółów danej luki. Jedyną różnicą w porównaniu do Responsible Disclosure zdaje się być możliwość upublicznienia tych informacji, jeśli okaże się, że podatność jest już aktywnie wykorzystywana przez cyberprzestępców.
Zespół bezpieczeństwa firmy Google proponował niedawno ustalenie terminu, po upływie którego odkrywca luki zyskiwałby prawo do ujawnienia jej - bez względu na to, czy producent aplikacji przygotował stosowną poprawkę, czy też nie. Według Google Security Team opracowanie patcha nie powinno trwać dłużej niż 60 dni. Microsoft nie uwzględnił jednak tego postulatu w CVD.
Rzekoma zmiana strategii ma zapewne związek z upublicznieniem informacji o błędzie w Centrum pomocy i obsługi technicznej, który zagrażał użytkownikom systemów Windows XP i Windows Server 2003. Na początku czerwca dokonał tego jeden z pracowników Google - Tavis Ormandy, co spotkało się z ostrą krytyką ze strony Microsoftu, doprowadziło jednak do załatania luki.
Na uwagę zasługują też informacje o dziurze w mechanizmie autouzupełniania, która występuje w niemal wszystkich popularnych obecnie przeglądarkach. Jej odkrywca Jeremiah Grossman poinformował o zagrożeniu firmę Apple, producenta Safari. Nie doczekał się żadnej reakcji, postanowił więc wygłosić odczyt na zbliżającej się wielkimi krokami konferencji Black Hat w Las Vegas.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
|
|
|
|
|
|