Project Zero ของ Google ช่วยให้บริษัทเทคโนโลยีสามารถแก้ไขช่องโหว่ได้นานขึ้น

Project Zero ของ Google ช่วยให้บริษัทเทคโนโลยีสามารถแก้ไขช่องโหว่ได้นานขึ้น

Google Project Zero ทีมผู้เชี่ยวชาญด้านความปลอดภัยที่จ้างโดยยักษ์ใหญ่ด้านการค้นหาซึ่งมีหน้าที่ตามล่าหาช่องโหว่ของซอฟต์แวร์ซีโร่เดย์ ได้อัปเดตแนวทางการเปิดเผยช่องโหว่แล้ว





นโยบายที่อัปเดตจะเพิ่มช่วงเวลาพิเศษ 30 วันในการเปิดเผยจุดบกพร่องด้านความปลอดภัย ก่อนหน้านี้ นักวิจัยของ Google จะเผยแพร่รายละเอียดของช่องโหว่ในเครื่องมือติดตามจุดบกพร่องออนไลน์เมื่อสิ้นสุดกรอบเวลา 90 วัน หรือหลังจากแก้ไขจุดบกพร่องแล้ว



ฉันต้องการโมเด็มและเราเตอร์หรือไม่

อีกนานกว่าจะแพทช์

เดือนเพิ่มเติม (โดยประมาณ) ช่วยให้ทั้งผู้จำหน่ายและผู้ใช้พัฒนา แชร์ และติดตั้งแพตช์ที่จำเป็นสำหรับซอฟต์แวร์ของตนได้นานขึ้นอีกเล็กน้อย ก่อนที่จะเปิดเผยรายละเอียดของช่องโหว่ทางออนไลน์ นี่เป็นข่าวดีเนื่องจากเมื่อมีการแชร์รายละเอียดช่องโหว่ทางออนไลน์ พวกเขาอาจถูกโจมตีโดยผู้โจมตี





แม้ว่าแพตช์จะถูกปล่อยออกมาบ่อยที่สุดโดยจุดที่มีการเผยแพร่รายละเอียดช่องโหว่ แต่ยังคงต้องอาศัยผู้ใช้ที่ติดตั้งแพตช์เอง ในบางกรณี อาจเป็นงานที่ต้องใช้เวลามาก อีก 30 วันของ Google จึงเป็นข่าวดี

'เป้าหมายของการอัปเดตนโยบายปี 2021 ของเราคือการทำให้ไทม์ไลน์การนำโปรแกรมแก้ไขไปใช้เป็นส่วนที่ชัดเจนของนโยบายการเปิดเผยช่องโหว่ของเรา' Tim Willis จาก Project Zero Vendors กล่าวใน โพสต์บล็อก อธิบายการเปลี่ยนแปลง 'ผู้ขายจะมีเวลา 90 วันในการพัฒนาแพตช์ และอีก 30 วันสำหรับการนำแพตช์ไปใช้'



Project Zero ได้ขยายระยะเวลาผ่อนผันเพิ่มเติม 30 วันเป็น ช่องโหว่ศูนย์วัน ที่กำลังถูกเอารัดเอาเปรียบผู้ใช้ในป่าอย่างแข็งขัน แม้ว่ากำหนดเวลาการเปิดเผยข้อมูลจะอยู่ที่ 7 วันสำหรับการแพตช์ รายละเอียดทางเทคนิคจะเผยแพร่หลังจากการแก้ไข 30 วันเท่านั้น ตราบใดที่ปัญหาได้รับการแก้ไขโดยนักพัฒนา ถ้าไม่เช่นนั้น รายละเอียดทางเทคนิคจะถูกเผยแพร่ทันที

ขยายไปสู่ช่องโหว่ Zero Day ด้วย

กฎใหม่เหล่านี้จะมีผลบังคับใช้ในปี 2021 แม้ว่าสิ่งต่าง ๆ อาจเปลี่ยนแปลงได้อีกครั้งในอนาคต ตามที่โพสต์ในบล็อกระบุว่า 'สิ่งที่เราชอบคือเลือกจุดเริ่มต้นที่ผู้ขายส่วนใหญ่สามารถหาได้อย่างสม่ำเสมอ จากนั้นจึงค่อยลดทั้งการพัฒนาโปรแกรมแก้ไขและไทม์ไลน์ในการนำโปรแกรมแก้ไขไปใช้'



การเปิดเผยข้อมูลประเภทนี้เป็นงานที่ยาก การสร้างสมดุลระหว่างผลประโยชน์สูงสุดของผู้ใช้กับการให้นักพัฒนามีเวลาเพียงพอในการพัฒนาและเผยแพร่แพตช์ เนื่องจากทีม Project Zero ตระหนักดีอยู่แล้วว่าเป็นพื้นที่ที่จะยังคงได้รับการปรับปรุงต่อไปเมื่อมีการพัฒนามาตรการรักษาความปลอดภัยทางไซเบอร์และแพตช์

ที่ซ่อมโทรศัพท์ราคาถูก

ในตอนนี้ คุณคงรู้สึกลำบากใจที่จะแนะนำว่าผู้เชี่ยวชาญด้านความปลอดภัยของ Google ไม่ได้ทำในสิ่งที่ถูกต้อง



เครดิตภาพ: Mitchell Luo / Unsplash CC

แบ่งปัน แบ่งปัน ทวีต อีเมล Microsoft's Patch Tuesday แก้ไขการใช้ประโยชน์จาก Zero-Day และข้อบกพร่องที่สำคัญอื่น ๆ

อัปเดตระบบ Windows ของคุณเพื่อป้องกันช่องโหว่ที่สำคัญ

อ่านต่อไป หัวข้อที่เกี่ยวข้อง
  • ความปลอดภัย
  • ข่าวเทคโนโลยี
  • Google
  • ความปลอดภัยทางไซเบอร์
เกี่ยวกับผู้เขียน ลุค ดอร์เมห์ล(ตีพิมพ์บทความ 180 บทความ)

ลุคเป็นแฟนตัวยงของ Apple มาตั้งแต่กลางทศวรรษ 1990 ความสนใจหลักของเขาเกี่ยวกับเทคโนโลยีคืออุปกรณ์อัจฉริยะและจุดตัดระหว่างเทคโนโลยีกับศิลปศาสตร์

เพิ่มเติมจาก Luke Dormehl

สมัครรับจดหมายข่าวของเรา

เข้าร่วมจดหมายข่าวของเราสำหรับเคล็ดลับทางเทคนิค บทวิจารณ์ eBook ฟรี และดีลพิเศษ!

คลิกที่นี่เพื่อสมัครสมาชิก