Google ha cambiato le policy del gruppo Project Zero e ora offre 14 giorni in più di tempo per rilasciare le patch dopo la scoperta e la segnalazione di vulnerabilità. Se richiesto, il team attenderà 14 giorni in più prima di rendere note a tutti le vulnerabilità, una decisione che dovrebbe accontentare anche Microsoft, una delle società che si era lamentata criticando la modalità di operare di Google.
Project Zero, lo ricordiamo, è un’iniziativa lanciata lo scorso anno, con l’obiettivo di individuare vulnerabilità zero-day nelle applicazioni, nei sistemi operativi e nei servizi più popolari. Dopo aver identificato un bug, il team si mette in contatto con la società coinvolta dando a questi 90 giorni di tempo per risolvere il problema. Allo scadere di questo tempo, vengono divulgati pubblicamente i dettagli della vulnerabilità e il codice dell’exploit.
Grazie al Project Zero sono state scoperte tre falle anche in OS X (risolte con gli update di sistema). Microsoft si era lamentata parlando di approccio sbagliato evidenziando che la divulgazione di dettagli prima della disponibilità di fix specifici rappresenta un grave pericolo per gli utenti. La multinazionale di Redmond ritiene la filosofia CVD (Coordinated Vulnerability Disclosure) un approccio migliore per minimizzare i rischi. Statistiche alla mano è stato ad ogni modo dimostrato che in pratica nessuna vulnerabilità segnalata privatamente è stata sfruttata da malintenzionati; al contrario, diversi attacchi sono stati compiuti quando la vulnerabilità è stata divulgata pubblicamente, prima del rilascio della patch. In pratica rendere noti i dettagli pubblicamente servirebbe a poco. Anche il tempo imposto per risolvere il problema secondo Microsoft non è ragionevole. Creare patch richiede spesso lavoro impegnativo di test e verifica e tempi variabili secondo la complessità della vulnerabilità da risolvere. Non sempre è possibile risolvere il problema nella tempistica che impone Project Zero.
Google ha ora ad ogni modo deciso di apportare alcune modifiche alla policy. In particolare se i 90 giorni coincidono con il weekend o giornate festive, la scadenza verrà posticipata al giorno lavorativo successivo; alla scadenza dei 90 giorni l’azienda coinvolta può comunicare che la patch verrà rilasciata entro i 14 giorni successivi, posticipando la pubblicazione dei dettagli fino al giorno in cui sarà disponibile la patch.