News

El programa “Project Zero” de Google ajusta sus políticas de exposición de vulnerabilidades

Google ha cambiado el protocolo para difundir los parches de Project Zero, el equipo de seguridad de Google que se dedica a buscar vulnerabilidades de día cero. A partir de ahora, los investigadores de Google darán a los desarrolladores 90 días para publicar información sobre la vulnerabilidad, sin importar cuándo haya sido descubierta.

Las anteriores políticas del equipo también ponían un límite de 90 días a los vendedores para que desarrollaran los parches. Sin embargo, si el problema se solucionaba antes, la actualización se publicaba de inmediato. Bajo las nuevas reglas, se deberá esperar a que se cumplan los 90 días antes de hacer pública la vulnerabilidad.

Project Zero dice que el 97,7% de sus proyectos se completan antes de los 90 días, por lo que con la incorporación de esta medida se propone concentrarse en la calidad de los parches y quitar la presión de publicarlos en el menor tiempo posible. “Más de una vez ha pasado que los vendedores parchan las vulnerabilidades ‘por encima’, sin considerar las variantes ni tomar en consideración la raíz del problema”, dijo Tim Willis, de Project Zero. “Nos preocupa que nuestras políticas que exigen un ‘desarrollo de parches más rápido’ puedan aportar a este problema, haciendo que sea más fácil para los atacantes revivir sus exploits y continuar atacando a los usuarios”.

Asimismo, esto daría más tiempo para que los usuarios instalen las actualizaciones que solucionan el problema antes de que se hagan públicos sus detalles. “La seguridad del usuario no mejora cuando se descubre una falla ni cuando se desarrolla un parche. Mejora cuando el usuario está consciente del problema y parcha su dispositivo”, dijo Willis.

Los investigadores de Project Zero también creen que esto facilitará la comunicación con los desarrolladores. “A algunos vendedores les parecía impredecible cuándo considerábamos una vulnerabilidad parchada, en especial cuando trabajaban con más de un investigador a la vez. (…) Lo consideraban una barrera para trabajar con nosotros en proyectos más grandes, así que vamos a quitar la barrera y ver si las cosas mejoran”.

Se manejará el límite de 90 días por defecto, pero podría reducirse si algún caso específico así lo requiere o ampliarse hasta 14 días más.

La medida es temporal, se pondrá a prueba durante todo 2020 para evaluar los resultados. De ser positivos, podría convertirse en una política permanente.

Fuentes
Google’s Project Zero highlights patch quality with policy tweak • Naked Security
Google’s Project Zero is now being more considerate with how it discloses security vulnerabilities • The Verge
Google Project Zero shifts to full 90-day disclosures to improve patch uptake • ZDNet

El programa “Project Zero” de Google ajusta sus políticas de exposición de vulnerabilidades

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada