Fabricantes devem responder a vulnerabilidades em sete dias

Os fornecedores de software devem emitir correcções ou pelo menos publicar conselhos de mitigação de novas vulnerabilidades num, dizem os engenheiros de segurança da Google.

A Google quer que os fabricantes de software corrijam falhas ou ofereçam conselhos de mitigação de vulnerabilidades de software anteriormente desconhecidas, no prazo de sete dias após a descoberta das mesmas. “Depois de se passarem sete dias sem haver correcções ou conselhos, suportaremos os investigadores interessados em tornar públicos os detalhes das vulnerabilidades  para os utilizadores poderem tomar medidas e protegerem-se,” explicam os engenheiros da Google, Chris Evans e Drew Hintz, no blog de segurança da empresa.

Em 2010, os investigadores da Google propuseram um prazo de 60 dias para a divulgação pública de vulnerabilidades críticas. Os fabricantes deveriam lançar uma correcção ou informações de mitigação de risco dentro desse prazo.

“Com base na nossa experiência, no entanto, acreditamos que uma acção mais urgente – no prazo de 7 dias – é mais apropriada para as vulnerabilidades críticas a serem activamente exploradas”, disseram os engenheiros de segurança do Google. “A principal razão para esta medida especial é que mais computadores ficarão comprometidos a cada dia que uma nova vulnerabilidade permaneça sem correcção”.

Ao longo dos anos, os investigadores de segurança da Google dizem ter encontrado dezenas de casos nos quais os atacantes exploraram activamente novas vulnerabilidades em software de terceiros, disse Evans e Hintz. “Nós denunciamos sempre esses casos ao fabricante afectado, imediatamente, e trabalhamos de perto com eles para levar a uma resolução da questão”, disseram.

Muitas das chamadas vulnerabilidades  “zero-day” são usadas contra grupos específicos de pessoas em ataques direccionados, muitas vezes mais graves do que aqueles mais abrangentes, dizem os engenheiros de segurança da Google. Por exemplo, os activistas políticos de certas partes do mundo, são frequentemente um dos alvos, e a violação da segurança dos seus computadores pode ter implicações reais para a sua segurança pessoal, lembram os responsáveis da Google.

(Lucian Constantin/IDG News Service)


Tags


Deixe um comentário

O seu email não será publicado