Google gaat informatie over onbekende beveiligingslekken in de software van andere bedrijven veel sneller openbaren als de kwetsbaarheden actief worden gebruikt om internetgebruikers aan te vallen. Voorheen hanteerde de zoekgigant een deadline van 60 dagen. Google ontdekt regelmatig zero-day-lekken, kwetsbaarheden waarvoor nog geen update beschikbaar is.
Vaak worden deze kwetsbaarheden ingezet om een selecte groep gebruikers, zoals activisten, aan te vallen. De getroffen softwareleverancier werd na de ontdekking van dit soort lekken door Google ingelicht en kreeg vervolgens 60 dagen de tijd om een beveiligingsupdate te ontwikkelen, voordat Google de details zou openbaren.
Patch
Onlangs ontdekte Google weer een zero-day in de software van een ander bedrijf. Om welke software het gaat laat de zoekgigant niet weten, maar het stelt dat bedrijven van wie de software actief wordt aangevallen eerder met een update moet komen. Daarom zal Google informatie over zero-day-lekken voortaan binnen 7 dagen publiceren.
"De reden voor deze speciale aanduiding is dat elke dag dat een actief misbruikt lek onbekend en ongepatcht voor het publiek blijft, meer computers gehackt worden", zegt Chris Evans van het Google Security Team. Evans erkent dat zeven dagen een zeer agressieve tijdslijn is en voor sommige leveranciers mogelijk te kort is om hun producten te patchen.
"Maar het zou genoeg moeten zijn om advies over mogelijke oplossingen te publiceren, zoals het tijdelijk uitschakelen van een dienst, het beperken van toegang of het benaderen van de leverancier voor meer informatie." Google zegt dat het zichzelf ook aan de nieuwe standaard gaat houden.
Deze posting is gelocked. Reageren is niet meer mogelijk.