image

Google: Patch ernstige lekken binnen 60 dagen

woensdag 21 juli 2010, 12:27 door Redactie, 2 reacties

Als het aan Google ligt worden ernstige beveiligingslekken altijd binnen zestig dagen gepatcht. De zoekgigant reageert op de eeuwige discussie tussen voor- en tegenstanders van full-disclosure. De discussie laaide op nadat Google-werknemer Tavis Ormandy een ernstig lek in Windows XP openbaarde, dat niet veel later door criminelen misbruikt werd voor het besmetten van computers.

Ormandy wilde dat Microsoft het lek binnen zestig dagen patchte, maar de softwaregigant zou daar niet meer akkoord zijn gegaan. Microsoft liet weten dat het verhaal van de beveiligingsonderzoeker niet klopt en er iets anders was afgesproken. Ormandy besloot echter niet op de aantijgingen uit Redmond te reageren.

Discussie
Dat neemt niet weg dat de discussie nog altijd voortduurt. In een gezamenlijke verklaring laten de belangrijkste Google-onderzoekers weten dat ze vinden dat het uiteindelijk gaat om het beschermen van gebruikers. "We zien een toename van het aantal leveranciers dat het principe van 'responsible disclosure' gebruikt om het patchen van lekken voor langere tijd uit te stellen, in sommige gevallen zelfs jaren", aldus de onderzoekers.

De kans bestaat daardoor dat in de tussentijd aanvallers het lek ook ontdekken en gebruikers zonder dat ze het weten risico lopen. Als een onderzoeker zich niet aan responsible disclosure houdt, wordt die door de leverancier vaak als onverantwoordelijk afgeschilderd. "Het tegenovergestelde is ook waar, het kan onverantwoord zijn om een lek voor zo'n lange periode open te laten."

Zestig dagen
Google ziet dat ervaren aanvallers steeds vaker zero-day lekken gebruiken die al geruime tijd bij de leverancier bekend zijn. Daarom is responsible disclosure tweerichtingsverkeer, aldus de Google-onderzoekers. "Leveranciers, alsmede onderzoekers, moeten verantwoord handelen. Ernstige lekken moeten binnen een redelijke tijd worden gepatcht."

De onderzoekers erkennen dat elk lek uniek is. "Maar we suggereren dat zestig dagen een redelijke limiet is voor ernstige lekken binnen veel gebruikte software." Daarbij merkt de zoekgigant op dat deze regel ook voor Google geldt.

Reacties (2)
21-07-2010, 12:48 door Bert de Beveiliger
Da's mooi gezegd. Gelukkig is het gros van de code van Google's core produkt nog altijd closed, dus geen idee of ze dan zelf ook zo trouw zijn.
21-07-2010, 17:45 door Anoniem
Kijk naar de updates van chrome ? dan weet je toch genoeg ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.