Nieuws
image

Meeste lekken die Google bij derden vindt binnen 90 dagen gepatcht

vrijdag 2 augustus 2019, 10:41 door Redactie, 10 reacties

De meeste beveiligingslekken die Google in de software van andere partijen vindt worden binnen 90 dagen gepatcht, zo heeft de internetgigant laten weten. Google beschikt over een apart team met de naam Project Zero dat naar kwetsbaarheden in allerlei software zoekt.

Zodra er een beveiligingslek is gevonden wordt de betreffende ontwikkelaar of leverancier geïnformeerd. Vanaf dat moment heeft de ontwikkelaar 90 dagen de tijd om met een beveiligingsupdate te komen, anders zal Google details over het lek openbaar maken. Een deadline van 90 dagen is volgens Google de best beschikbare optie om gebruikers te beschermen. "Het is onze verwachting dat de ontwikkelaar de kwetsbaarheid binnen 90 dagen verhelpt", aldus het techbedrijf.

In het geval een beveiligingsupdate binnen 14 dagen voor het verstrijken van de deadline verschijnt biedt Google de mogelijkheid voor een verlenging van 14 dagen. In het verleden is het weleens voorgekomen dat twee dagen na het verstrijken van de deadline er een patch verscheen. Voor dit soort gevallen is de verlenging een redelijk compromis, stelt Google. De verlenging wordt alleen aangeboden als de betreffende ontwikkelaar binnen de extra veertien dagen met een update komt.

Project Zero werd in juli 2014 opgericht. Sindsdien zijn er 1585 beveiligingslekken die het team vond door de betreffende leverancier gepatcht. Van 66 kwetsbaarheden werden de details openbaar gemaakt voordat er een update beschikbaar was. Dat houdt in dat zo'n 96 procent van de kwetsbaarheden binnen de deadline van 90 dagen werd gepatcht.

Sinds februari 2015 biedt Google ontwikkelaars ook de eerder genoemde verlenging van twee weken. Als er naar deze periode wordt gekeken zijn er 1434 verholpen beveiligingslekken. Daarvan kregen 1224 kwetsbaarheden binnen 90 dagen een update en werden er 174 binnen de verlengingsperiode van 14 dagen gepatcht. 36 kwetsbaarheden werden door Google geopenbaard zonder dat er patches beschikbaar waren. In dit geval was 97,5 procent van de kwetsbaarheden binnen de gegeven deadline opgelost.

Volgens Google is het nodig om een deadline te hanteren. "We maakten ons zorgen dat het lang kon duren voordat patches werden ontwikkeld en aan gebruikers aangeboden. We vonden dat een deadline om details openbaar te maken het juiste evenwicht van prikkels biedt", zo laat de internetgigant weten in een uitleg over het publicatiebeleid.

Reacties (10)
02-08-2019, 16:29 door karma4
Gaarne hetzelfde voor de lekken bij Google.
Nu is het alsof zij een uitzondering zijn.
02-08-2019, 18:11 door Anoniem
Door karma4: Gaarne hetzelfde voor de lekken bij Google.
Nu is het alsof zij een uitzondering zijn.
Welke lekken hebben zij dan niet binnen de tijd gepatched?
02-08-2019, 19:24 door karma4
Door Anoniem:
Door karma4: Gaarne hetzelfde voor de lekken bij Google.
Nu is het alsof zij een uitzondering zijn.
Welke lekken hebben zij dan niet binnen de tijd gepatched?
Laten we maar eens eenvoudig beginnen met het bijhouden en bijwerken van android op smartphones. Weigeren ze.
dan: https://www.securityweek.com/vulnerability-chrome-android-patched-three-years-after-disclosure
Oud maar het gaat er om dat google er niet op reageert. Ze zouden de effort in hun spullen moeten steken om die goed te krijgen.
02-08-2019, 21:13 door Anoniem
Door karma4:
Laten we maar eens eenvoudig beginnen met het bijhouden en bijwerken van android op smartphones. Weigeren ze..
Google is helaas niet de aangegeven instantie. Fabriekanten van de telefoons zijn hiervoor verantwoordelijk. Zij updaten niet! Maar ja, je kletst wel vaker.
03-08-2019, 01:06 door [Account Verwijderd]
Door karma4:
Door Anoniem:
Door karma4: Gaarne hetzelfde voor de lekken bij Google.
Nu is het alsof zij een uitzondering zijn.
Welke lekken hebben zij dan niet binnen de tijd gepatched?
Laten we maar eens eenvoudig beginnen met het bijhouden en bijwerken van android op smartphones. Weigeren ze.
dan: https://www.securityweek.com/vulnerability-chrome-android-patched-three-years-after-disclosure
Oud maar het gaat er om dat google er niet op reageert. Ze zouden de effort in hun spullen moeten steken om die goed te krijgen.

De reden dat Google niet reageert is dat het een grensgeval is (security related of niet; debatable). En in z'n algemeenheid: je kan met een enkel geforceerd tegenvoorbeeld de excellente reputatie van Google op het vlak van veiligheid echt niet ontkrachten.
03-08-2019, 08:17 door karma4
Door Anoniem: Google is helaas niet de aangegeven instantie. Fabriekanten van de telefoons zijn hiervoor verantwoordelijk. Zij updaten niet! Maar ja, je kletst wel vaker.
Als we dat voor pc's zouden zeggen dan klopt er niets van je bewering.
Daar wordt de software leverancier aangesproken niet de hardware samensteller.

Je hebt met je afsluitende zij aangegeven het verschil niet te zien en kwalijker het vereiste inzicht en denkvermogen mist.


Door En Rattshaverist:
De reden dat Google niet reageert is dat het een grensgeval is (security related of niet; debatable). En in z'n algemeenheid: je kan met een enkel geforceerd tegenvoorbeeld de excellente reputatie van Google op het vlak van veiligheid echt niet ontkrachten.
Waarmee je enkel aangeeft een google evangelist - Microsoft hater te zijn. Geen echte onafhankelijk ICT-er.
Opgelegd door de EU wegens monopolisme https://www.nu.nl/tech/5973590/google-laat-zoekmachines-bieden-om-op-android-keuzescherm-te-komen.html JE verward dat monopolisme met de leuke promoties met de veiligheid en kwaliteit.
03-08-2019, 11:07 door [Account Verwijderd]
Door karma4:
Door Anoniem:
Door karma4: Gaarne hetzelfde voor de lekken bij Google.
Nu is het alsof zij een uitzondering zijn.
Welke lekken hebben zij dan niet binnen de tijd gepatched?
Laten we maar eens eenvoudig beginnen met het bijhouden en bijwerken van android op smartphones. Weigeren ze.
dan: https://www.securityweek.com/vulnerability-chrome-android-patched-three-years-after-disclosure
Oud maar het gaat er om dat google er niet op reageert. Ze zouden de effort in hun spullen moeten steken om die goed te krijgen.

Mijn Android One smartphone krijgt maandelijks security updates. Hetzelfde geldt voor Google Pixel smartphones en OnePlus toestellen. Google werkt dus wel degelijk hun smartphones op tijd bij.
Dat andere smartphone fabrikanten laks zijn is niet de schuld van Google.
03-08-2019, 20:02 door [Account Verwijderd]
Door karma4:
Door En Rattshaverist:
De reden dat Google niet reageert is dat het een grensgeval is (security related of niet; debatable). En in z'n algemeenheid: je kan met een enkel geforceerd tegenvoorbeeld de excellente reputatie van Google op het vlak van veiligheid echt niet ontkrachten.
Waarmee je enkel aangeeft een google evangelist - Microsoft hater te zijn. Geen echte onafhankelijk ICT-er.
Opgelegd door de EU wegens monopolisme https://www.nu.nl/tech/5973590/google-laat-zoekmachines-bieden-om-op-android-keuzescherm-te-komen.html JE verward dat monopolisme met de leuke promoties met de veiligheid en kwaliteit.

Ach, ach, karma4 met z'n 'evangelisten', 'haters' stokpaardjes die zich alleen tussen zijn beide oren manifesteren. Feiten liegen echter niet, karma4. In een objectieve vergelijking Google vs concurrentie komt Google er goed uit. Heel goed zelfs.
04-08-2019, 11:31 door Anoniem
Door karma4:
Door Anoniem:
Door karma4: Gaarne hetzelfde voor de lekken bij Google.
Nu is het alsof zij een uitzondering zijn.
Welke lekken hebben zij dan niet binnen de tijd gepatched?
Laten we maar eens eenvoudig beginnen met het bijhouden en bijwerken van android op smartphones. Weigeren ze.
dan: https://www.securityweek.com/vulnerability-chrome-android-patched-three-years-after-disclosure
Oud maar het gaat er om dat google er niet op reageert. Ze zouden de effort in hun spullen moeten steken om die goed te krijgen.
Je weet toch ook wel dat bij android de leverancier verantwoordelijk is voor de updates? Die moeten de updates eerst verwerken in hun eigen bloated software. Gelukkig is het met de nieuwste android versies een stuk beter geworden.
07-08-2019, 12:48 door Anoniem
90 dagen is lang, mijn ervaring bij Google is dat ze veel sneller zijn doorgaans en ook sneller dan de meeste Linux distributeurs. Google is goed bezig en laat de concurrentie ver achter zich. Ze doen het steeds beter en blijven innovatief. De concurrentie is alleen nog bezig boven water te blijven want zij woden aangevallen net zoals allerlei web platformen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure