23°C 16°/ 24°
Google/YouTube · Notícias

Project Zero da Google vai dar mais 14 dias para anunciar bugs

9 Comentários

Quando a Google criou o Project Zero pretendia ter uma forma de criar uma comunidade e uma forma de investigar problemas de segurança nos mais variados elementos da Internet.

A sua utilidade é mais que clara, mas os problemas surgiram quando a Google, de forma indiferenciada, resolveu seguir as suas regras e anunciou ao mundo vulnerabilidades antes de estas estarem resolvidas.

Para evitar situações destas e para dar mais tempo aos programadores para resolverem os bugs de segurança, os prazos de anuncio foram alargados, em situações particulares.

google_proj_zero_1


As mudanças que a Google agora implementou no Project Zero pretendem dar alguma margem adicional aos programadores para resolverem as situações de problemas que forem encontradas e que estão a ser resolvidas.

Este problema surgiu recentemente com o lançamento a público de algumas vulnerabilidades associadas a sistemas operativos que estavam a ser corrigidas.

O lançar para a Internet destas falhas permite que qualquer atacante mal intencionado possa estudá-las e usá-las de forma não legal, quer para atacar computadores ou simplesmente para roubar dados dos utilizadores.

A Google e os elementos do Project Zero apenas se limitaram a seguir as regras que estabeleceram e que dão noventa dias para que os problemas sejam resolvidos, depois destes terem sido reportados às entidades que gerem os serviços ou os softwares.

Os recentes casos, que envolveram a Apple e a Microsoft, mostraram que as empresas nem sempre conseguem tratar dos problemas no prazo dado e por isso a Google tem agora algumas mudanças nos timmings que definiu.

google_proj_zero_2

As novas regras definidas dão agora 14 dias adicionas a todos os programadores que informem a Google que estão a trabalhar no problema reportado e que não vão conseguir lançar a sua correcção no prazo de 90 dias dado pela Google.

Esta extensão de tempo teria sido suficiente para que a Microsoft não tivesse o seu problema do Windows 8.1 exposto e possível de ser explorado. A solução acabou por sair apenas dois dias depois.

Os prazos da Google são o que a empresa entende serem os aceitáveis para estes tipos de situações, sendo suficientes para que os programadores e as empresas responsáveis corrijam as falhas.

Outras entidades conseguem dar outros tempos aos programadores, mas sempre em tempos aproximados a estes. Existem casos em que são dados 120 dias e outros em que estes se limitam a 45.

Estas alterações da Google, que se vão aplicar em situações pontuais e bem identificadas, garantem agora que os problemas não são expostos dias antes de serem anunciadas as soluções que os corrigem e que eliminam os problema de segurança.

Autor: Pedro Simões
Partilhar:
Tags:
14 dias aumento bugs Google/YouTube prazos Project Segurança Zero
iPerf – É fácil medir a largura de banda em TCP e UDP
Artigo anterior

iPerf – É fácil medir a largura de banda em TCP e UDP
Kim DotCom quer criar a sua própria versão da Internet
Próximo artigo

Kim DotCom quer criar a sua própria versão da Internet
Também pode gostar
PUB

Comentários

9

Responder a Tiago Caneira Cancelar resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Tiago Caneira
    Tiago Caneira

    Permitam-me só fazer uma pergunta: mas qual é o interesse que existe em colocar essa informação a público? Que sejam avisadas as empresas que detêm o software, isso eu entendo para que possam proceder às respectivas correcções, agora ao público? Parece-me que os utilizadores pouco ou nada possam fazer, a não ser esperar por uma actualização de segurança para corrigir o problema, e haverá por aí bastantes pessoas que poderão, como é indicado, utilizar essa informação para seu benefício próprio… Este é um daqueles conceitos que tenho dificuldade em entender!

    Responder
    1. Avatar de Gonçalo
      Gonçalo

      O problema é que em termos praticos e não teoricos se não existe o pressão os problemas resolvem-se ao arrastão e o que pode ser resolvido em 90 dias é resolvido em 360 dias (se).

      Não esquecendo que hackers experientes à priori já sabem destas vulnerabilidades e são eles que causam os problemas maiores.

      Sendo assim compensa mais que haja a pressão de tornar publico para que o estrago seja menor.

      Responder
    2. Avatar de miguel
      miguel

      Não, é para as empresas não ficarem a dormir a sombra da bananeira…

      Era lindo, fazer um software, cheiro de bug’s ERROs, se o utilizador comum não se aperceber, está óptimo.

      Empresas como a Apple, MS, etc, ligam muito a sua imagem, e para não estragarem a sua imagem, tem de corrigir os erros no prazo de 90dias, neste caso +14dias.

      Acho muito bem, ate acho que + empresas deviam investir nisso. Ou acham que é só pessoas “bem intencionas” que exploram as mesmas falhas????

      Responder
  2. Avatar de Nuno
    Nuno

    O melhor que podia acontecer ao android era voltar ao zero, substituirem a linguagem programacao que é claramente errática pois esta mal optimizada, a imagem do windows

    Responder
    1. Avatar de miguel
      miguel

      não me digas es daqueles miúdos que faz birra no natal para a família oferecer um Iphone. que nem faz ideia o que é um telemóvel android. (ou então teve o android de 80€ e quer comparar a um de 700€)

      E que tal ires mudar a fralda???

      Responder
  3. Avatar de Telmo
    Telmo

    O que eu acho piada é que a empresa por detrás disto seja a mesma empresa que se recusa a resolver conhecidas falhas de segurança que afectam as versões mais usadas do seus SO móvel (<=4.3). Cómico.

    Responder
    1. Avatar de Gonçalo
      Gonçalo

      Tambem não ves a Microsoft a actualizar bugs do win xp…

      A resolução passa por actualires o teu android, o telemovel não é compativel? passa então por comprares um telemovel novo.

      Temos de seguir a evolução!

      Responder
  4. Avatar de VaGNaroK
    VaGNaroK

    “mostraram que as empresas nem sempre conseguem tratar dos problemas no prazo dado”, engraçado que as distribuições GNU/Linux conseguem resolver o problema bem rápido como foi o caso do shellshock, na minha opinião as empresas estão de frescuragem… 90 é o suficiente para empresas de grande porte como a microsoft com os seus programadores resolverem.

    Responder
  5. Avatar de Marcel
    Marcel

    Que viagem! A Merd@ da Google cria um setor em sua empresa para os caras ficarem o dia inteiro procurando bugs nos concorrentes e quando acham ainda ficam tirando onda com prazos para resolverem porque senão vão entregar para o mundo suas falhas!

    Isso aqui no Brasil se chama:

    “Dedu Duro”!
    “Caguete”!
    “X9”!
    “Mau Caracter”!

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.