Google maakt technische details van gevonden kwetsbaarheden vanaf nu later bekend wanneer leveranciers binnen de gestelde deadline met een patch komen. Onderzoekers van Google zoeken actief naar kwetsbaarheden in de producten en programma's van andere bedrijven. Wanneer er een beveiligingslek wordt gevonden krijgt de leverancier in kwestie van Google negentig dagen de tijd om de gevonden kwetsbaarheid te verhelpen.
Ongeacht of de leverancier een beveiligingsupdate voor de kwetsbaarheid heeft uitgerold maakte Google de technische details van de kwetsbaarheid altijd op de negentigste dag na de initiële bugmelding bekend. Leveranciers konden een verlenging van veertien dagen aanvragen, maar het was aan Google om dit toe te staan.
Het techbedrijf heeft nu besloten om dit beleid iets aan te passen. Wanneer de gerapporteerde kwetsbaarheid binnen negentig dagen door de leverancier wordt gepatcht zal Google de technische details pas dertig dagen na het beschikbaar komen van de beveiligingsupdate openbaar maken. Dit moet voorkomen dat gebruikers al worden aangevallen voordat ze de beschikbare patch hebben kunnen installeren. De details van Google kunnen aanvallers namelijk helpen bij het ontwikkelen van een exploit.
Mocht de leverancier in kwestie na negentig dagen het probleem nog niet hebben verholpen, dan zullen de details nog steeds op de negentigste openbaar worden gemaakt, zoals altijd het geval was.
In het geval van actief aangevallen zerodaylekken maakte Google de details al na zeven dagen na de initiële melding aan de leverancier bekend. Komt de leverancier binnen zeven dagen met een beveiligingsupdate dan zal Google vanaf nu wederom de details pas na dertig dagen openbaar maken. Is er na zeven dagen geen patch gepubliceerd, dan maakt Google de details wederom zoals voorheen meteen bekend.
Volgens Google zorgt het nieuwe beleid ervoor dat leveranciers negentig dagen de tijd hebben om een update te ontwikkelen en er vervolgens dertig dagen voor de uitrol van de update beschikbaar is. Het techbedrijf verwacht, gebaseerd op de huidige patchtijden dat deze verhouding waarschijnlijk volgend jaar zal worden aangepast naar 84 dagen voor het ontwikkelen van de patch en 28 dagen voor het uitrollen.
Deze posting is gelocked. Reageren is niet meer mogelijk.