c.m.g
01-06-2013, 08:08
venerdì 31 maggio 2013
Mountain View annuncia una nuova policy per la diffusione dei dettagli sulle falle individuate nei software della concorrenza. Un modo, dice, per spingere tutti a cautelarsi in fretta
Roma - Contro il logorio delle vulnerabilità di sicurezza dei software, Google prende una posizione decisa e unilaterale stabilendo il limite massimo entro il quale i dettagli sulle falle saranno tenuti riservati: dopo 7 giorni, sostiene (http://googleonlinesecurity.blogspot.ch/2013/05/disclosure-timeline-for-vulnerabilities.html) BigG sul blog aziendale, le informazioni sui bachi dei software della concorrenza verranno resi noti a utenti, ricercatori e sviluppatori per permettere lo sviluppo di contromosse o misure mitiganti efficaci.
Mountain View giustifica la presa di posizione unilaterale con la scoperta recente di attacchi pensati per sfruttare la falla 0-day di un software della concorrenza: un incidente non isolato e che ha sempre visto Google impegnata a comunicare l'esistenza del baco allo sviluppatore o all'azienda interessati.
Ma per quanto riguarda le vulnerabilità "critiche", dice ora Google, i tempi di sviluppo di una patch risolutiva possono risultare fatali agli utenti dei software fallati. L'esperienza suggerisce dunque che per i bug critici siano necessarie azioni più urgenti: la pubblicazione dei dettagli sulle falle a 7 giorni dalla scoperta dovrebbe garantire maggiore consapevolezza da parte dell'utenza e mettere le ali ai piedi agli sviluppatori interessati a sviluppare una patch.
Con i dettagli della vulnerabilità noti, questo il ragionamento di Mountain View, i ricercatori possono studiare meglio il problema e fornire consigli su come gli utenti possano mettersi al sicuro dai pericoli. Google concede che alcuni vendor non sono in grado di risolvere - per un motivo o per un altro - un problema al codice in appena una settimana, nondimeno in 7 giorni è possibile mettere a punto un fix temporaneo o consigli appositi per i loro clienti.
Con la nuova policy Mountain View dà l'impressione di voler decidere per gli altri (http://www.theregister.co.uk/2013/05/31/google_gives_vendors_sevenday_bug_disclosure_deadline/) i tempi e le modalità di gestione dei problemi di sicurezza nel software per computer, una posizione che certamente non piacerà a chi come Microsoft pubblica i suoi bollettini di sicurezza una volta al mese (http://punto-informatico.it/cerca.aspx?s=%22patch+tuesday%22&t=4&o=0) e sarà d'ora in poi costretta a fronteggiare l'ennesimo motivo di scontro con Google. In fatto di vulnerabilità e sicurezza i rapporti tra le due aziende non è mai stato roseo (http://punto-informatico.it/2788034/PI/News/google-bucata-via-internet-explorer.aspx).
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3814620/PI/News/google-concede-giorni-correggere-bug.aspx)
Mountain View annuncia una nuova policy per la diffusione dei dettagli sulle falle individuate nei software della concorrenza. Un modo, dice, per spingere tutti a cautelarsi in fretta
Roma - Contro il logorio delle vulnerabilità di sicurezza dei software, Google prende una posizione decisa e unilaterale stabilendo il limite massimo entro il quale i dettagli sulle falle saranno tenuti riservati: dopo 7 giorni, sostiene (http://googleonlinesecurity.blogspot.ch/2013/05/disclosure-timeline-for-vulnerabilities.html) BigG sul blog aziendale, le informazioni sui bachi dei software della concorrenza verranno resi noti a utenti, ricercatori e sviluppatori per permettere lo sviluppo di contromosse o misure mitiganti efficaci.
Mountain View giustifica la presa di posizione unilaterale con la scoperta recente di attacchi pensati per sfruttare la falla 0-day di un software della concorrenza: un incidente non isolato e che ha sempre visto Google impegnata a comunicare l'esistenza del baco allo sviluppatore o all'azienda interessati.
Ma per quanto riguarda le vulnerabilità "critiche", dice ora Google, i tempi di sviluppo di una patch risolutiva possono risultare fatali agli utenti dei software fallati. L'esperienza suggerisce dunque che per i bug critici siano necessarie azioni più urgenti: la pubblicazione dei dettagli sulle falle a 7 giorni dalla scoperta dovrebbe garantire maggiore consapevolezza da parte dell'utenza e mettere le ali ai piedi agli sviluppatori interessati a sviluppare una patch.
Con i dettagli della vulnerabilità noti, questo il ragionamento di Mountain View, i ricercatori possono studiare meglio il problema e fornire consigli su come gli utenti possano mettersi al sicuro dai pericoli. Google concede che alcuni vendor non sono in grado di risolvere - per un motivo o per un altro - un problema al codice in appena una settimana, nondimeno in 7 giorni è possibile mettere a punto un fix temporaneo o consigli appositi per i loro clienti.
Con la nuova policy Mountain View dà l'impressione di voler decidere per gli altri (http://www.theregister.co.uk/2013/05/31/google_gives_vendors_sevenday_bug_disclosure_deadline/) i tempi e le modalità di gestione dei problemi di sicurezza nel software per computer, una posizione che certamente non piacerà a chi come Microsoft pubblica i suoi bollettini di sicurezza una volta al mese (http://punto-informatico.it/cerca.aspx?s=%22patch+tuesday%22&t=4&o=0) e sarà d'ora in poi costretta a fronteggiare l'ennesimo motivo di scontro con Google. In fatto di vulnerabilità e sicurezza i rapporti tra le due aziende non è mai stato roseo (http://punto-informatico.it/2788034/PI/News/google-bucata-via-internet-explorer.aspx).
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3814620/PI/News/google-concede-giorni-correggere-bug.aspx)