Google heeft de deadline die het hanteert om kwetsbaarheden in de producten van andere softwarebedrijven te onthullen iets versoepeld. Sinds vorig jaar zet de zoekgigant een team van hackers in genaamd Project Zero dat actief naar kwetsbaarheden in veelgebruikte programma's zoekt.
Zodra een kwetsbaarheid wordt gevonden krijgt de ingelichte leverancier 90 dagen de tijd om met een patch te komen, anders zal Google de details automatisch openbaren. Dit tot ergernis van Microsoft, dat in één geval na 92 dagen met een update kwam. De softwaregigant had Google gevraagd om de details pas na het verschijnen van de update openbaar te maken, maar daar werd geen gehoor aan gegeven. Daardoor zouden gebruikers onnodig risico hebben gelopen.
Nu meldt Google dat het zich iets soepeler zal opstellen. Als een deadline in een weekend of tijdens Amerikaanse feestdagen verloopt, zal de deadline naar de eerst volgende werkdag worden verschoven. Daarnaast komt er een vrijwaringsperiode van 14 dagen. Als de deadline van 90 dagen verloopt maar de leverancier in de volgende 14 dagen met een update zegt te komen, zullen de details pas na het uitkomen van de patch verschijnen.
"Het openbaar maken van een ongepatcht probleem zal nu alleen plaatsvinden als de deadline bij meer dan twee weken wordt gemist", zegt Chris Evans van het Project Zero Team. De nieuwe regels gelden niet alleen voor dit onderzoeksteam van Google, maar voor alle onderdelen en medewerkers van de zoekgigant die kwetsbaarheden in de software van andere partijen ontdekken.
Ondanks het kritiek van sommige partijen op de deadline is die wel degelijk succesvol, stelt Evans. De meeste kwetsbaarheden die Project Zero ontdekte werden in Adobe Flash Player aangetroffen. Alle 37 gerapporteerde lekken aan Adobe werden binnen de deadline van 90 dagen gepatcht. In totaal ontdekte Project Zero 154 kwetsbaarheden, waarvan 85% binnen de deadline was verholpen.
In het geval van de 73 lekken die na 1 oktober 2014 aan leveranciers werden gemeld gaat het zelfs om 95%. En zoals het er nu naar uitziet zullen er in februari geen deadlines worden gemist. "Deadlines lijken te werken om de patchtijd en veiligheid voor gebruikers te verbeteren, zeker als ze consequent worden gehandhaafd", merkt Evans op.
Deze posting is gelocked. Reageren is niet meer mogelijk.